Abo-Trojaner, die es auf Ihr Geld abgesehen haben

Wir erklären, wie Android-Nutzer den Abo-Trojanern Jocker, MobOk, Vesub und GriftHorse zum Opfer fallen.

Sogenannte Abo-Trojaner stellen eine altehrwürdige Methode dar, Android-Nutzer um ihr hart verdientes Geld zu bringen. Unter dem Deckmantel nützlicher Apps schleusen sie sich auf die Geräte ihrer Opfer und abonnieren heimlich kostenpflichtige Dienste. Meist ist das Abonnement selbst authentisch, nur höchstwahrscheinlich benötigt der Nutzer diesen Dienst überhaupt nicht.

 

Die Ersteller solcher Trojaner verdienen Geld über Provisionen; Das heißt, sie erhalten einen bestimmten Prozentsatz von der dem Nutzer abgeluchsten Geldsumme. In diesem Fall wird das Geld normalerweise von einem mobilen Konto oder direkt von einer Bankkarte abgebucht. Wir haben die bemerkenswertesten Beispiele solcher mobilen Abo-Trojaner, die unsere Kaspersky-Experten im vergangenen Jahr unter die Lupe genommen haben, für Sie zusammengefasst.

 

Zahlungspflichtige Abos und Bestätigungscodes in Textnachrichten

Trojaner der Jocker-Familie werden normalerweise über Google Play verbreitet. Dabei modifizieren Cyberkriminelle tatsächlich nützliche Apps, indem sie ihnen Schadcode hinzufügen und sie unter einem anderen Namen erneut in den Store schleusen. Das können beispielsweise Messaging-Apps, Anwendungen zur Blutdrucküberwachung oder zum Scannen von Dokumenten sein. Geschulte App-Prüfer von Google Play versuchen, solche Apps zu identifizieren und schnellstmöglich zu entfernen, dennoch schießen neue, schädliche Anwendungen wie Pilze aus dem Boden, was ihnen die Arbeit oft erschwert.

Einige der Google Play-Apps, die mit dem Abo-Trojaner Jocker infiziert waren

Werfen wir einen Blick auf die Funktionsweise von Abo-Trojanern. Im Normalfall muss ein Nutzer zum Abonnieren eines Dienstes ausdrücklich auf die Schaltfläche „Abonnieren“ auf der Website des Anbieters tippen. Um automatisierten Abo-Versuchen entgegenzuwirken, bitten Anbieter den Nutzer meist, den Abschluss eines Abonnements per Eingabe eines in einer SMS gesendeten Codes zu bestätigen. Malware der Jocker-Familie kann diese Schutzmethode jedoch umgehen.

Nachdem die infizierte App ihren Weg auf das Gerät geschafft hat, bittet sie den Nutzer häufig um Zugriff auf seine Textnachrichten. Danach öffnet der Trojaner die Abonnementseite in einem für den Nutzer nicht sichtbaren Fenster, simuliert das Tippen auf die Schaltfläche „Abonnieren“, stiehlt den Bestätigungscode aus der Textnachricht und schließt auf diese Weise ein Abo ab.

In Fällen, in denen die App keinen Zugriff auf die Textnachrichten des Nutzers einfordert (warum sollte man einer App zum Scannen von Dokumenten beispielsweise derartige Berechtigungen einräumen?), bitten Abo-Trojaner der Jocker-Familie um Zugriff auf die Benachrichtigungen des Smartphones. Auf diese Weise kann der per SMS empfangene Bestätigungscode über die Pop-up-Benachrichtigung eingehender Nachrichten entwendet werden.

So umgehen Abo-Trojaner CAPTCHA-Prüfungen

Trojaner der MobOk-Familie gehen dabei etwas raffinierter vor. Sie stehlen nicht nur Bestätigungscodes aus Textnachrichten oder Benachrichtigungen, sondern umgehen auch CAPTCHA-Tests, die ebenfalls vor einem automatisierten Abo-Abschluss schützen sollen. Um die jeweilige Aufgabe zu lösen, sendet der Trojaner diese an einen speziellen Dienst – im vergangenen Jahr haben wir den Betrieb von Klickfarmen untersucht, die ihre Dienste zur CAPTCHA-Erkennung anbieten.

Bis auf dieses zusätzliche Feature funktionieren MobOk-Trojaner ähnlich wie Trojaner der Jocker-Familie. In mehreren Fällen wurde MobOk als Payload des Triada-Trojaners verbreitet, meistens über vorinstallierte Apps auf bestimmten Smartphone-Modellen, über inoffizielle WhatsApp-Modifikationen oder den alternativen App Store APKPure. In wenigen Fällen sind MobOk-infizierte Apps auch bei Google Play zu finden.

 

Abo-Trojaner in nicht offiziellen Quellen

Malware der Vesub-Familie wird darüber hinaus auch über dubiose Quellen unter dem Deckmantel von Apps verbreitet, die aus bestimmten Gründen aus offiziellen Stores verbannt wurden – dazu zählen beispielsweise Apps, die den Download von Inhalten aus YouTube, Tubemate, Vidmate oder anderen ähnlichen Diensten ermöglichen oder sich als inoffizielle Android-Version von GTA5 tarnen. Darüber hinaus kann die Malware auch in Form von kostenlosen Versionen beliebter, teurer Apps wie Minecraft an den Nutzer gebracht werden.

Abo-Trojaner Vesub tarnt sich als Tubemate, Vidmate, GTA5, Minecraft oder GameBeyond

Im Gegensatz zu Malware der MobOk- und Jocker-Familien bringen mit Vesub-infizierte Anwendungen dem Nutzer oft gar keinen Nutzen. Unmittelbar nach der Installation schließen diese Trojaner ein unaufgefordertes Abonnement ab und verbergen relevante Fenster vor dem Nutzer, während im Vordergrund ein Ladefenster der App angezeigt wird.

Login per Telefonnummer

GriftHorse.ae-Trojaner sind sogar noch fantasieloser. Bei erster Ausführung fordern sie Nutzer zu angeblichen Anmeldezwecken dazu auf, ihre Telefonnummer preiszugeben. Das Abonnement wird abgeschlossen, sobald der Nutzer seine Anmeldeinformationen eingibt und auf „Anmelden“ tippt. Das Geld wird dann umgehend vom mobilen Konto abgebucht. Diese Malware präsentiert sich normalerweise als App zum Wiederherstellen gelöschter Dateien, Bearbeiten von Fotos oder Videos, Scannen von Dokumenten, als Übersetzungs- oder Navigations-App usw. In Wirklichkeit bieten die infizierten Apps dem Nutzer allerdings keinen dieser Dienste.

Abonnements mit wiederkehrender Zahlung

Der Trojaner GriftHorse.l macht sich Abonnements mit wiederkehrenden Zahlungen zunutze. Offiziell geschieht dies mit der direkten Zustimmung des Nutzers, wobei die Opfer meist nicht merken, dass sie sich für ein Abonnement mit wiederkehrender Zahlung angemeldet haben. Oftmals besteht der Trick bei dieser Methode darin, bei der ersten Zahlung lediglich eine sehr geringe Geldsumme vom Konto des Opfers abzubuchen, während spätere Gebühren merklich höher ausfallen.

Wir haben bereits ein ähnliches Schema untersucht, bei dem Fake-Websites Abonnements für scheinbare Schulungskurse anbieten. In diesem Fall sind die Mechanismen ungefähr gleich, aber in der App selbst implementiert. Der Trojaner wird größtenteils über Google Play vertrieben, und das Geld direkt von einer Bankkarte abgebucht.

So schützen Sie sich vor Betrügern

Herauszufinden, wie ein ungewolltes Abonnement wieder gekündigt werden kann, ist oft nicht leicht. Deshalb gilt auch in diesem Fall: Vorsorge ist besser als Nachsorge. So können Sie sich vor Abo-Trojanern schützen:

  • Installieren Sie keine Apps aus inoffiziellen Quellen. Die Sicherheit Ihrer Geräte wird so deutlich gestärkt.
  • Leider bieten auch offizielle Quellen keine 100%ige Sicherheit. Bevor Sie eine App aus dem Google Play Store oder einem anderen Store herunterladen, sollten Sie sich daher unbedingt die Rezensionen und Kommentare ansehen.
  • Werfen Sie zudem einen Blick auf das Veröffentlichungsdatum der App. Stores entfernen gefährliche Fake-Apps proaktiv aus ihrem Repertoire, weshalb Betrüger neue Versionen infizierter Apps wie am laufenden Band erstellen. Ist eine App also erst kürzlich im Store erschienen, sollten Sie Vorsicht walten lassen.
  • Gewähren Sie Apps nur minimalen Zugriff auf Ihr Gerät. Bevor Sie Anwendungen die Erlaubnis erteilen, Ihre Textnachrichten zu lesen, sollten Sie sich zunächst fragen, ob diese Funktion für die App wirklich notwendig ist.
  • Installieren Sie ein verlässliches mobiles Antivirus – so wird Ihr Gerät auch vor Abo-Trojanern geschützt.
Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.