Malware in gefälschter Koch-App: Rezept für potenzielle Katastrophen

Der durch BlueVoyant untersuchte Fall der gefälschten App „RecipeLister“ zeigt eindrucksvoll, wie einfach Angreifer ihre wahren Absichten hinter einer scheinbar harmlosen Anwendung verbergen können

[datensicherheit.de, 23.07.2025] Wenn kulinarische Rezepte und Malware aufeinandertreffen, wird das Ergebnis wohl eher unbekömmlich sein: „Der Fall der gefälschten App ,RecipeLister’, den BlueVoyant untersucht hat, zeigt eindrucksvoll, wie einfach Angreifer ihre wahren Absichten hinter einer scheinbar harmlosen Anwendung verbergen können.“ Auf den ersten Blick scheine „RecipeLister“ genau das zu bieten, was sie verspricht – eine umfangreiche Bibliothek internationaler Rezepte, verpackt in einer benutzerfreundlichen „Windows“-App. Tatsächlich bestätigten die Sicherheitsforscher demnach, dass diese App eine große und gut strukturierte Sammlung von Rezepten bereithält – und genau dort aber hätten die Angreifer ihre Schadsoftware versteckt.

„RecipeLister“-App – raffiniertes Werkzeug für verdeckte Cyberangriffe

Die Bedrohungsakteure scheuten keinen Aufwand, um ihre Software möglichst seriös zu gestalten und attraktiv für Endnutzer zu machen. „Mithilfe von Malvertising und SEO-Poisoning – Techniken, mit denen Suchmaschinen und Online-Werbung manipuliert werden, um schädliche Inhalte nach oben zu spülen – platzierten sie ,RecipeLister’ gezielt auf den vorderen Plätzen der Suchergebnisse, wie auch Blumira berichtete.“

• „RecipeLister“ habe sich als kostenlose „Windows“-Anwendung mit einer umfangreichen Sammlung internationaler Rezepte präsentiert. „Auf den ersten Blick wirkte die App vertrauenswürdig – digital signiert, sauber verpackt und über Suchanzeigen sowie seriös wirkende Webseiten verbreitet“.

Nach der Installation schien sie ihr Versprechen einzulösen und habe den Nutzern einen funktionierenden Rezept-Browser versprochen. „Doch hinter der makellosen Oberfläche verbarg sich ein ausgeklügelter Mechanismus, um unbemerkt Schadcode auf die Systeme der Nutzer zu schleusen.“ Die Untersuchung habe gezeigt: „,RecipeLister’ war weit mehr als ein digitaler Küchenhelfer – sie war ein raffiniertes Werkzeug für verdeckte Cyberangriffe.“

Verschleierung: App lud Inhalte von entferntem Server, welche auf den ersten Blick wie gewöhnliche Rezepte wirkten

Die eigentliche Raffinesse von „RecipeLister“ habe in der Art und Weise gelegen, „wie der Schadcode versteckt wurde“ – genau dort, wo ihn niemand vermuten würde, nämlich mitten in den Rezeptdaten selbst.

• „Die App lud Inhalte von einem entfernten Server, die auf den ersten Blick wie gewöhnliche Rezeptbeschreibungen wirkten. Tatsächlich aber waren in diesen Daten unsichtbare Nullbreiten-Unicode-Zeichen verborgen, für Menschen nicht wahrnehmbar, die zusammen einen verschlüsselten String bildeten. Dieser wurde anschließend mit einem fest eingebauten Schlüssel entschlüsselt und im Hintergrund ausgeführt – das betroffene System wurde so unbemerkt zum Wirt beliebiger Schadsoftware.“

Basierend auf Steganografie, also dem Verbergen von Informationen im Sichtbaren, sei diese Malware lange unentdeckt geblieben und habe sich weiterhin als harmlose App tarnen können.

Bevor man Apps herunterlädt und installiert sollte man genau potenzielle Nutzen und Risiko abwägen

Anders als typische Malware, die sofort zuschlägt, habe sich „RecipeLister“ Zeit gelassen. In unregelmäßigen Abständen habe diese App den Server kontaktiert, geprüft, ob eine neue „Payload“ vorlag, und versucht, diese zu entschlüsseln und auszuführen, „sobald die Bedingungen stimmten“. Schlug die Entschlüsselung fehl, habe sie geduldig und unauffällig abgewartet, um es später erneut zu versuchen. Diese langsame, berechnende Vorgehensweise habe es der Schadsoftware ermöglicht, gängige Sicherheitsmechanismen zu umgehen und über lange Zeit unbemerkt zu bleiben.

• „RecipeLister“ sei eine eindringliche Mahnung vor den verborgenen Risiken vermeintlich harmloser „Freeware“. Der raffinierte Einsatz unsichtbarer Zeichen und die verzögerte Angriffsstrategie zeigten, wie weit Angreifer gingen, um unentdeckt zu bleiben. „Die Botschaft für Nutzer ist eindeutig: Selbst die alltäglichste Software kann zur Sicherheitsbedrohung werden, wenn blindes Vertrauen Wachsamkeit ersetzt!“

Bevor man eine Anwendung herunterlädt und installiert – so unbedeutend sie auch erscheinen mag – sollte man folglich genau abwägen, „ob der potenzielle Nutzen das Risiko tatsächlich rechtfertigt“.

Weitere Informationen zum Thema:

BlueVoyant, Blog, Thomas Elkins, 17.07.2025
RecipeLister: A Recipe for Disaster

Blumira, Taylor Jacobson, 29.05.2025
Verdächtiger Code-Alarm: Rezept App entführt Anmeldeinformationen und scheint C&C-Verbindung zu etablieren

datensicherheit.de, 03.04.2025
Google Play Store: Hunderte bösartige Apps aufgespürt / Bedrohliche Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen

datensicherheit.de, 20.02.2025
Neue Bedrohungsakteure: Fake-Update-Angriffe zum Malware-Upload / Angreifer setzen zunehmend für verschiedene Plattformen optimierte maßgeschneiderte Malware ein

datensicherheit.de, 29.05.2024
Gipy: Malware tarnt sich als KI-Tool und stiehlt Passwörter sowie Daten / Auch Deutschland im Gipy-Visier – unter den fünf am häufigsten betroffenen Ländern