Trojaner nutzen WAP-Abo’s, um Geld zu stehlen

Können Sie sich noch daran erinnern was WAP ist? Vielleicht, vielleicht aber auch nicht! WAP ist eine eher primitive Version des mobilen Internets. Die kleinen Webseiten, auf die es zugreifen kann und die hauptsächlich Text anzeigen, haben wir damals genutzt als Handys gerade gelernt hatten Daten zu übertragen.

Unabhängig von der Tatsache, dass WAP praktisch in Vergessenheit geraten ist, werden Teile der Technologie noch immer von Mobilfunkanbietern unterstützt. Einige unterstützen zum Beispiel noch immer WAP-Billing, das den Nutzern erlaubt auf einer Webseite direkt über die Mobilfunkrechnung zu kaufen.

WAP-Billing ist eine Einnahmequelle für Cyberkriminelle

WAP-Billing birgt verschiedene Probleme. Zum einen ist es nicht besonders transparent für den Käufer. Theoretisch sollte eine Webseite, die WAP-Billing unterstützt, genau darauf hinweisen was Sie kaufen und wie viel Sie dafür zahlen; in der Praxis sieht das allerdings oft ganz anders aus.

Zweitens: Drittanbieter nehmen gleichzeitig an WAP-Billing-Transaktionen teil – abgesehen vom Käufer handelt es sich hierbei um den Mobilfunkanbieter, den Zahlungsverkehrsdienstleister und schlussendlich um den Content Provider.

Und am allerwichtigsten: es sind keine Bankkarten für diese Art von Zahlungen erforderlich. Bei vielen anderen Betrugsformen müssen die Opfer dazu gebracht werden ihre Bankinformationen manuell einzugeben. Bei einem WAP-Betrug müssen Opfer nicht einmal über ein Bankkonto verfügen. Aber Sie können davon ausgehen, dass fast jeder Zugriff auf ein Handykonto hat.

Im Grunde genommen handelt es sich hier um dasselbe wie beim Versenden von Premium-Textnachrichten. Ein kleines Detail kommt allerdings hinzu: Malware, die WAP-Billing ausnutzt, ist weniger kompliziert als Trojaner, die Premium-Textnachrichten verschicken. Cyberkriminelle müssen ihren Malware-Kreationen nicht einmal beibringen, den Zugriff zu erhalten, den sie zum Versenden von SMS-Nachrichten brauchen; diese Trojaner bleiben unentdeckt und fragen nicht nach speziellen Berechtigungen wie zum Beispiel nach dem Zugriff auf die Barrierefreiheit.

Trojaner, die gelernt haben WAP-Billing auszunutzen

Die Annehmlichkeiten des WAP-Billings wurden von Cyberkriminellen aktiv ausgenutzt, indem sie die Malware dazu befähigt haben Webseiten zu öffnen, die WAP-Billing unterstützen und bestimmte Schaltflächen auszuwählen, die Zahlungen starten. Der Nutzer bekommt davon meist nichts mit. Roman Unucheck, Forscher von Kaspersky Lab, hat herausgefunden, dass derartige Trojaner vermehrt im zweiten Quartal 2017 aufgetreten sind.

Eines der Paradebeispiele dieser Trojaner ist die sogenannte Ubsod-Familie. Diese Art von Malware, die als Trojan-Clicker-AndroidOS.Ubsod erkannt wird, funktioniert wie folgt: Von einem Befehls- und Steuerungsserver erhält der Trojaner die URL-Adressen von Webseiten mit Schaltflächen; danach besucht der Trojaner die Webseiten und klickt auf Schaltflächen, um Benutzer für verschiedene unerwünschte bezahlte Dienste zu registrieren.

Und weil Mobilfunkanbieter normalerweise per SMS-Nachricht über abgeschlossene Abo’s benachrichtigen, ist der Trojaner darauf trainiert jegliche SMS-Nachrichten, die den Text „ubscri“ oder „одпи“ enthalten abzufangen und zu löschen. „Ubscri“ und „одпи“ sind Teile der Wörter „subscription“ und „подписка“ (Abonnement auf Russisch). Zudem kann der Trojaner das WiFi deaktivieren und automatisch die mobile Datennutzung des Smartphones aktivieren. Denn: WAP-Billing funktioniert nur dann, wenn der Nutzer sich über die mobilen Daten mit dem Internet verbindet.

Ein weiterer Trojaner, den unsere Produkte als Trojan-Dropper.AndroidOS.Ubsod idetifizieren, macht dasselbe aber kann zudem heruntergeladene Dateien entpacken und ausführen. Und ein Dritter, Trojan-Banker.AndroidOS.Ubsod, kennt zusätzlich einige typische Tricks der Banking-Trojaner: wie Banking-Apps mit Phishing-Fenstern überlappt werden können, Befehle ausgeführt werden, und wie Werbungen angezeigt und SMS-Nachrichten verschickt werden.

Eine weitere Malware, Trojan-Clicker.AndroidOS.Xafekopy, gibt sich als nützliche App aus; meist als Optimierer der Akkulaufzeit Ihres Smartphones. Und das sogar sehr überzeugend. Nichts weist auf die bösartige Natur dieser App hin. Aber sie klickt sich durch WAP-Billing- und Werbe-URLs. Die Erfinder von Trojanern implementieren oftmals verschiedene Methoden in ihrer Malware um Profit zu machen.

Das sich ein WAP-Billing-Trojaner auf Ihrem Mobilgerät eingeschlichen hat merken Sie vermutlich erst, wenn das gesamte Geld Ihres mobilen Kontos verschwunden ist. Alternativ können Sie Sicherheitslösung verwenden, die derartige Trojaner entdecken und Sie darüber informieren.

Wie Sie ihr Gerät vor WAP-Billing-Trojanern schützen können

1. Verbieten Sie die Installation von Apps unbekannter Herkunft. Diese Art von Trojaner kann durch Werbung verteilt werden. Um die Installation von Apps unbekannter Herkunft zu blockieren, gehen Sie zu Einstellungen – Sicherheit und deaktivieren Sie Unbekannte Quellen. Sie können mehr über brauchbare Android-Sicherheitseinstellungen in diesem Artikel erfahren.
   

   

2. Ihr Mobilfunkbetreiber hat wahrscheinlich eine Art Selbstbedienungsportal, auf dem Sie alle aktiven Dienste, einschließlich Ihrer aktuellen WAP-Abonnements finden können. Wenn ihr Mobilkonto verdächtig schnell kein Geld mehr hat, öffnen Sie die Self-Service-Seite Ihres Anbieters und schauen Sie nach, ob ein ungewolltes, kostenpflichtiges Abo unterschrieben wurde. Bei einigen Mobilfunkanbietern können Sie die WAP-Billing-Dienste komplett abstellen lassen.

3. Installieren Sie eine zuverlässige Sicherheitslösung auf Ihrem Mobilgerät. Kaspersky Internet Security für Android zum Beispiel kann die oben genannte Malware entdecken und neutralisieren. Die kostenlose Version verlangt, dass der Nutzer regelmäßige Scans durchführt, während die kostenpflichtige Version dies automatisch erledigt (auch bei der Installation einer neuen App).