Sie verwenden einen veralteten Browser!
Die Seite kann inkorrekt angezeigt werden.
27. Januar 2023
Softwaremodule, die in Android-Apps integriert werden und aufdringliche Werbung auf Mobilgeräten anzeigen. Je nach Familie und Modifikation können sie Werbung im Vollbildmodus anzeigen, indem sie andere Fenster blockieren, Benachrichtigungen anzeigen, Verknüpfungen erstellen und Websites laden.
Im Dezember 2022 erkannten die Spezialisten von Doctor Web viele Bedrohungen auf Google Play, darunter neue Vertreter der Trojaner-Familie Android.FakeApp. Sie stellen eine Verbindung mit dem Remote-Verwaltungsserver her, empfangen Befehle vom Server und zeigen unerwünschte Websites (z.B. Phishing-Seiten) an.
Einige dieser Apps wurden als Finanzkurs-, Investment-, Informations- oder Umfrage-Apps verbreitet und ermöglichten es Nutzern angeblich, deren Finanzkompetenz zu verbessern, Geld vorteilhaft zu investieren, am Erdöl- und Gashandel teilzunehmen und sogar Wertpapiere großer Unternehmen kostenlos zu erhalten. Dazu musste der Nutzer seine persönlichen Informationen angeben, um z.B. einen Antrag auf die Erstellung eines Benutzerkontos senden zu können.
Einige gefälschte Apps tarnten sich in Handyspielen.
Je nach vom Remote-Verwaltungsserver empfangener Konfiguration zeigten sie Online-Casinos oder Handyspiele an:
Eine der erkannten gefälschten Apps wurde unter dem Namen SEEKS als App zur Jobsuche verbreitet. Das Programm öffnete betrügerische Websites mit fiktiven Stellenangeboten. Die App wurde als Android.FakeApp.1133 in die Dr.Web Virendatenbank eingetragen.
Eine weitere gefälschte App wurde als VPN-Client „Safe VPN“ verbreitet und unter dem Namen Android.FakeApp.1141 in die Dr.Web Virendatenbank eingetragen.
Das Programm öffnete die Website, auf der der Nutzer aufgefordert wurde, einen VPN-Dienst sehr preisgünstig zu abonnieren. Dazu musste er seine Bankdaten angeben und den Zugriff auf den Dienst bezahlen. Nach Ablauf der 3-tägigen Testperiode wurde ein bedeutend größerer Betrag (ca. 1,8 Euro) täglich vom Konto des Nutzers abgebucht. Diese Bedingungen wurden zwar auf der Website angezeigt, waren aber schwierig zu finden und wurden daher von den meisten Nutzern übersehen.
Die App simulierte die Herstellung einer VPN-Verbindung und informierte den Nutzer über eine erfolgreiche Verbindungsherstellung. In Wirklichkeit war die versprochene Funktionalität nicht verfügbar.
Außerdem wurden Anwendungen erkannt, die die Belohnung des Nutzers simulieren, wenn dieser bestimmte Aufgaben erfüllt. Die App „Wonder Time“ forderte den Nutzer auf, weitere Apps und Handyspiele zu installieren und auszuführen. Dafür wurden virtuelle „Münzen“ versprochen, die angeblich gegen reales Geld eingetauscht werden konnten. Um das virtuelle Guthaben gegen reales Geld einlösen zu können, musste der Nutzer eine bestimmte Anzahl von „Münzen“ ansparen. Den erforderlichen Betrag zu verdienen, würde zu viel Zeit und Ressourcen in Anspruch nehmen. Je nach Version wird die App als Program.FakeMoney.4, Program.FakeMoney.5 oder Program.FakeMoney.6 erkannt.
Einige weitere ähnliche Anwendungen wurden unter dem Namen Program.FakeMoney.7 in die Dr.Web Virendatenbank eingetragen: „Lucky Habit: health tracker“, „WalkingJoy“ und einige Versionen von „Lucky Step-Walking Tracker“. Die erste Anwendung wurde als App zur Entwicklung guter Gewohnheiten verbreitet. Die anderen tarnten sich als Schrittzähler. Der Nutzer verdiente „Tickets“ oder „Münzen“ für verschiedene Leistungen (Spazierengehen, Einhaltung des Tagesablaufs etc.) sowie zusätzliche Belohnungen für das Anschauen von Werbung.
Wie im oben erwähnten Fall, musste der Nutzer einen bestimmten Betrag ansparen, um seine „Münzen“ gegen reales Geld einzulösen. Danach wurde der Nutzer aufgefordert, sich immer mehr Werbevideos anzuschauen, um die Geldüberweisung angeblich zu beschleunigen. Die Richtigkeit der vom Nutzer angegebenen Zahlungsdaten wurde nicht geprüft. Daher war die Wahrscheinlichkeit, reales Geld zu bekommen, gleich null.
Ältere Versionen von „Lucky Step-Walking Tracker“ boten die Möglichkeit, virtuelle Münzen gegen Geschenkgutscheine verschiedener Onlineshops einzutauschen. In den neueren Versionen sind die entsprechenden Elemente der Benutzeroberfläche nicht mehr verfügbar. Alle „Ansparungen“ wurden zunichtegemacht. Bemerkenswert ist, dass „Lucky Habit: health tracker“, „Lucky Step-Walking Tracker“ und „WalkingJoy“ einen gemeinsamen Verwaltungsserver haben – [string]richox[.]net[/string]. Dies könnte bedeuten, dass auch die Nutzer von „Lucky Habit: health tracker“ und „WalkingJoy“ diese Option bald einbüßen müssen.
Es wurden neue Vertreter des Trojaners Android.Joker erkannt, der kostenpflichtige Dienste im Namen der Nutzer abonniert. Sie tarnten sich in den Programmen „Document PDF Scanner“ (Android.Joker.1941), „Smart Screen Mirroring“ (Android.Joker.1942) und „Smart Night Clock“ (Android.Joker.1949).
Über Google Play wurde auch die Anwendung „FITSTAR“ als Fitness-App verbreitet.
Die App öffnete die Website, auf denen Nutzer aufgefordert wurden, ein individuelles Schlankheitsprogramm für ca. 0,38 Euro zu erwerben. In Wirklichkeit wurde dem Käufer nur ein 1-tägiger Testzugriff für diesen Preis gewährt. Nach Ablauf der Testperiode wurde das Abonnement automatisch für weitere 4 Tage verlängert. Für die Verlängerung wurden ca. 12 Euro vom Bankkonto des Nutzers abgebucht. Der Preis eines Monatsabonnements konnte sich also auf 90 Euro belaufen. Das Abo wurde immer wieder automatisch verlängert.
Nutzer, die diese App installierten, liefen Gefahr, einen bedeutenden Geldbetrag zu verlieren. Die App wurde als Program.Subscription.1 in die Dr.Web Virendatenbank eingetragen.
Um Ihre Android-Geräte vor Schadprogrammen zu schützen, installieren Sie Dr.Web für Android.
© Doctor Web
2003 — 2023
Doctor Web, Anbieter von IT-Sicherheitslösungen, entwickelt Technologien zur Erkennung, Prävention und Abwehr von Cyberangriffen.
Doctor Web Deutschland GmbH. Bäderstraße 1
76530 Baden-Baden