Baden-Baden, 14. Juni 2019

Die Virenanalysten von Doctor Web entdeckten den Schädling Android.FakeApp.174, der im Google Chrome-Browser verdächtige Webseiten hochlädt. Google Chrome-Nutzer werden dabei ohne ihre Zustimmung für Push-Benachrichtigungen registriert. Diese werden versendet, auch wenn der Browser geschlossen ist. Man könnte auch glauben, dass sie echt sind. Solche Benachrichtigungen stören nicht nur die Arbeit mit Android-Geräten, sondern können auch zum Diebstahl von Geld und vertraulichen Daten führen.

Die Web-Push-Technologie ermöglicht es Webseiten, mit Zustimmung des Nutzers Benachrichtigungen an den Nutzer zu senden, auch wenn eine Webseite nicht im Browser geöffnet ist. Diese Funktion ist nützlich und bequem, wenn man mit harmlosen Inhalten arbeitet. So kann man sich beispielsweise in sozialen Netzwerken auf diese Weise über neue Beiträge informieren. Nachrichtenagenturen können auch ihre Abonnenten über neue Beiträge benachrichtigen. Die Technologie wird jedoch von Cyberkriminellen und skrupellosen Werbetreibenden missbraucht, um Werbung und betrügerische Benachrichtigungen von gehackten oder bösartigen Webseiten zu verbreiten.

Diese Benachrichtigungen werden in Browsern sowohl auf PCs als auch auf Laptops und mobilen Geräten unterstützt. In der Regel gerät das Opfer auf eine zweifelhafte Webseite, wenn es einen Link oder Werbebanner anklickt. Android.FakeApp.174 ist einer der ersten Trojaner, der Cyberkriminellen hilft, die Zahl der Besucher auf diesen Seiten zu erhöhen und solche Benachrichtigungen an Smartphone - und Tablet-Nutzer zu generieren.

Android.FakeApp.174 wird so unter dem Deckmantel einer bekannten App verbreitet. Zwei solcher Modifikationen des Trojaners wurden von unseren Virenanalysten Anfang Juni auf Google Play entdeckt. Nach der Kontaktaufnahme mit Google wurde die Malware entfernt. Nichtsdestotrotz wurde die App von über 1.100 Nutzern heruntergeladen.

Beim Start lädt der Trojaner im Google Chrome-Browser eine Webseite herunter, deren Adresse in den Einstellungen einer böswilligen App angegeben ist. Diese Seite leitet den Nutzer auf Seiten verschiedener Partnerprogramme weiter. Danach wird man aufgefordert, den Erhalt von Benachrichtigungen auf jeder dieser Seiten zu erlauben. Um das Opfer davon zu überzeugen, wird eine Art Überprüfung durchgeführt (z.B. dass der Benutzer kein Roboter ist) oder ein Hinweis darauf gegeben, auf welche Schaltfläche man klicken soll. Dies soll mehr Abos generieren. Beispiele für solche Anfragen sind auf den folgenden Bildschirmaufnahmen dargestellt:

Nach der Aktivierung des Abos beginnen diese Webseiten, dem Nutzer zahlreiche Benachrichtigungen zu fragwürdigen Inhalten zu senden. Sie werden auch dann empfangen, wenn der Browser geschlossen ist und der Trojaner bereits gelöscht wurde. Der Inhalt kann alles Mögliche sein, u.a. falsche Benachrichtigungen über den Erhalt von Geldboni oder Überweisungen, neue Meldungen in sozialen Netzwerken, Werbehoroskopen, Casinos, Waren und Dienstleistungen und sogar «News».

Viele von ihnen sehen wie echte Benachrichtigungen über echte Online-Dienste aus. So sind sie beispielsweise mit dem Logo einer Bank, einer Dating-Webseite, einer Nachrichtenagentur oder eines sozialen Netzwerks versehen. Besitzer von Android-Geräten können täglich Dutzende solcher Spam-Nachrichten empfangen.

Obwohl diese Benachrichtigungen auch die Adresse der entsprechenden Webseite enthalten, können sie von einem unwissenden Nutzer übersehen werden. Beispiele für betrügerische Benachrichtigungen sind wie folgt:

Wenn man eine solche Benachrichtigung anklickt, wird man auf die Webseite mit fragwürdigem Inhalt weitergeleitet. Dies kann u.a. Werbung für Casinos sowie unterschiedliche Apps auf Google Play, Rabatt- und Gutscheinangebote sowie gefälschte Online-Umfragen und Gewinnspiele sein, die je nach Standort des Nutzers variieren. Beispiele für solche Webseiten sind wie folgt:

Viele von diesen Webseiten sind an bereits bekannten betrügerischen Programmen beteiligt. Cyberkriminelle sind auch in der Lage, einen Angriff jederzeit zu starten, um sensible Daten zu klauen. Ein potenzielles Opfer kann also eine gefälschte Benachrichtigung anklicken, zu einer Phishing-Seite gehen und seinen Namen, sein Login, sein Passwort, seine E-Mail-Adresse, seine Kreditkartennummer oder andere sensible Daten angeben.

Die Malwareanalysten von Doctor Web sind der Meinung, dass Cyberkriminelle diese Methode zur Promotion zweifelhafter Dienste weiterhin aktiv nutzen werden. Android-Nutzer sollten deshalb beim Aufrufen von Webseiten diese sorgfältig auf verdächtige Aufforderungen und unerwünschte Benachrichtigungen überprüfen. Wenn man aus einem beliebigen Grund unerwünschte Spam-Benachrichtigungen abonniert hat, sollte man wie folgt vorgehen:

• Rufen Sie «Einstellungen» => «Website-Einstellungen» => «Benachrichtigungen» in Google Chrome auf.
• Finden Sie in der Liste die entsprechende Webseite, klicken Sie diese an und wählen Sie «Berechtigungen zurücksetzen» oder «Löschen».

Dr.Web Produkte für Android finden und löschen alle bekannten Modifikationen von Android.FakeApp.174. Deshalb stellt der Trojaner für unsere Nutzer keine Bedrohung dar.

Mehr zu Android.FakeApp.174

Your Android needs protection.

Use Dr.Web

• The first Russian anti-virus for Android
• Over 140 million downloads—just from Google Play
• Available free of charge for users of Dr.Web home products

Free download