One-Click Zahlungsbetrug sucht sich Android-Opfer

Originalartikel von Noriaki Hayashi, Senior Threat Researcher

Betrüger zielten bislang mit ihrem Schema des so genannten One-Click Billing auf Smartphone-Nutzer. Jetzt gibt es ein ähnliches Betrugsmuster, dass speziell auf Android-Nutzer ausgerichtet ist.



Bei einem One-Click Billing-Betrug versuchen die Kriminellen, ihre Opfer dazu zu verleiten, sich für einen bestimmten Dienst anzumelden und dafür zu zahlen, indem sie sie auf manipulierte Webseiten locken. Beim letzten von Trend Micro aufgedeckten Angriff wurden die Opfer aufgefordert, eine bestimmte Summe zu zahlen, um zu verhindern, dass ihre Informationen an eine Pornoseite weitergeleitet werden.
Die Sicherheitsexperten haben nun einen ähnlichen Angriff über eine bösartige App auf Android-Nutzer entdeckt. Der Angriff wird von einer Blog-Site ausgelöst, auf der Spiele-Videos enthalten sind. Der Blog namens „Game Dunga“ hat bereits dreimal die Domain gewechselt. In früheren Versionen gab es eine Menge Links, die auf Spiele-Videos (nicht nur Pornoinhalte) führten. Die aktuelle, dritte Generation jedoch enthält nur Links, die auf Pornoinhalte zeigen.

Beim Versuch, ein Video anzuschauen, wird ein Pop-up-Fenster geöffnet mit der Aufforderung, eine App herunterzuladen, die Trend Micro als bösartig (ANDROIDOS_FAKETIMER.A) erkannt hat. Der Schädling sammelt die Kontoinformationen des Android-Nutzers und leitet sie an eine bestimmte URL weiter, als Parameter für die folgenden Methoden:
•    getAccounts() method – sammelt Gmail-Kontoinformationen, die von dem Gerät des betroffenen Nutzers verwaltet warden.
•    getDeviceID() method – sammelt die SIM-Daten des betroffenen Geräts.
•    getLine1Number() method – sammelt die Mobilnummer des Geräts.

Die auf diese Weise erhaltenen Daten werden an die Cyberkriminellen weitergeleitet. Auch zeigt ANDROIDOS_FAKETIMER.A ein Pop-up-Fenster an mit der Nachricht: „Wir haben ihre Zahlung nicht erhalten. Aus diesem Grund müssen wir gemäß unserer Richtlinien eine Strafgebühr erheben für den Fall, dass Sie nicht gezahlt haben.“

Darüber hinaus zeigt der Schädling die gestohlenen Informationen an, um Vertrauen beim Nutzer aufzubauen und ihn zur Zahlung zu bewegen.

Die Einbindung einer App in diesen Betrug verleiht dem Schema eine bis dahin nicht vorhandene Persistenz. In der Vergangenheit wurden die Routinen hauptsächlich über eine infizierte Website ausgeführt und somit endete der Angriff, wenn ein Opfer den Browser schloss. Nun aber, da eine auf einem Gerät installierte App dafür verantwortlich ist, wird der Nutzer wiederholte Male zur Zahlung aufgefordert. Eine Codeanalyse zeigte, dass das Pop-up auf ein Zeitintervall von fünf Minuten gesetzt war.

Nutzer, die auf ähnliche Sites stoßen, sind gut beraten, die Seite sofort zu verlassen, ohne einen Link anzuklicken. Trend Micros Smart Protection Network schützt die Anwender vor dieser Art von Angriffen, den der Web Reputation-Dienst erkennt die bösartigen Seiten und blockiert die entsprechenden URLs. Weitere Informationen zu anderen mobilen Gefahren und auch Tipps für die Sicherheit der Geräte gibt es im Mobile Threat Information Hub.

Ein Gedanke zu „One-Click Zahlungsbetrug sucht sich Android-Opfer

  1. Pingback: Warnung vor Blog „Game Dunga“: Android-App lockt Nutzer in die Bezahlfalle - datensicherheit.de Informationen zu Datenschutz und Datensicherheit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*