{"id":28534,"date":"2022-05-10T14:37:30","date_gmt":"2022-05-10T12:37:30","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28534"},"modified":"2022-05-10T14:37:30","modified_gmt":"2022-05-10T12:37:30","slug":"trojans-subscribers-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/trojans-subscribers-2022\/28534\/","title":{"rendered":"Abo-Trojaner, die es auf Ihr Geld abgesehen haben"},"content":{"rendered":"

Sogenannte Abo-Trojaner stellen eine altehrw\u00fcrdige Methode dar, Android-Nutzer um ihr hart verdientes Geld zu bringen. Unter dem Deckmantel n\u00fctzlicher Apps schleusen sie sich auf die Ger\u00e4te ihrer Opfer und abonnieren heimlich kostenpflichtige Dienste. Meist ist das Abonnement selbst authentisch, nur h\u00f6chstwahrscheinlich ben\u00f6tigt der Nutzer diesen Dienst \u00fcberhaupt nicht.<\/p>\n

\u00a0<\/p>\n

Die Ersteller solcher Trojaner verdienen Geld \u00fcber Provisionen; Das hei\u00dft, sie erhalten einen bestimmten Prozentsatz von der dem Nutzer abgeluchsten Geldsumme. In diesem Fall wird das Geld normalerweise von einem mobilen Konto oder direkt von einer Bankkarte abgebucht. Wir haben die bemerkenswertesten Beispiele solcher mobilen Abo-Trojaner, die unsere Kaspersky-Experten im vergangenen Jahr<\/a> unter die Lupe genommen haben, f\u00fcr Sie zusammengefasst.<\/p>\n

\u00a0<\/p>\n

Zahlungspflichtige Abos und Best\u00e4tigungscodes in Textnachrichten<\/h2>\n

Trojaner der Jocker-Familie werden normalerweise \u00fcber Google Play verbreitet. Dabei modifizieren Cyberkriminelle tats\u00e4chlich n\u00fctzliche Apps, indem sie ihnen Schadcode hinzuf\u00fcgen und sie unter einem anderen Namen erneut in den Store schleusen. Das k\u00f6nnen beispielsweise Messaging-Apps, Anwendungen zur Blutdruck\u00fcberwachung oder zum Scannen von Dokumenten sein. Geschulte App-Pr\u00fcfer von Google Play versuchen, solche Apps zu identifizieren und schnellstm\u00f6glich zu entfernen, dennoch schie\u00dfen neue, sch\u00e4dliche Anwendungen wie Pilze aus dem Boden, was ihnen die Arbeit oft erschwert.<\/p>\n

\"\"

Einige der Google Play-Apps, die mit dem Abo-Trojaner Jocker infiziert waren<\/p><\/div>\n

Werfen wir einen Blick auf die Funktionsweise von Abo-Trojanern. Im Normalfall muss ein Nutzer zum Abonnieren eines Dienstes ausdr\u00fccklich auf die Schaltfl\u00e4che \u201eAbonnieren\u201c auf der Website des Anbieters tippen. Um automatisierten Abo-Versuchen entgegenzuwirken, bitten Anbieter den Nutzer meist, den Abschluss eines Abonnements per Eingabe eines in einer SMS gesendeten Codes zu best\u00e4tigen. Malware der Jocker-Familie kann diese Schutzmethode jedoch umgehen.<\/p>\n

Nachdem die infizierte App ihren Weg auf das Ger\u00e4t geschafft hat, bittet sie den Nutzer h\u00e4ufig um Zugriff auf seine Textnachrichten. Danach \u00f6ffnet der Trojaner die Abonnementseite in einem f\u00fcr den Nutzer nicht sichtbaren Fenster, simuliert das Tippen auf die Schaltfl\u00e4che \u201eAbonnieren\u201c, stiehlt den Best\u00e4tigungscode aus der Textnachricht und schlie\u00dft auf diese Weise ein Abo ab.<\/p>\n

In F\u00e4llen, in denen die App keinen Zugriff auf die Textnachrichten des Nutzers einfordert (warum sollte man einer App zum Scannen von Dokumenten beispielsweise derartige Berechtigungen einr\u00e4umen?), bitten Abo-Trojaner der Jocker-Familie um Zugriff auf die Benachrichtigungen des Smartphones. Auf diese Weise kann der per SMS empfangene Best\u00e4tigungscode \u00fcber die Pop-up-Benachrichtigung eingehender Nachrichten entwendet werden.<\/p>\n

So umgehen Abo-Trojaner CAPTCHA-Pr\u00fcfungen<\/h2>\n

Trojaner der MobOk-Familie gehen dabei etwas raffinierter vor. Sie stehlen nicht nur Best\u00e4tigungscodes aus Textnachrichten oder Benachrichtigungen, sondern umgehen auch CAPTCHA<\/a>-Tests, die ebenfalls vor einem automatisierten Abo-Abschluss sch\u00fctzen sollen. Um die jeweilige Aufgabe zu l\u00f6sen, sendet der Trojaner diese an einen speziellen Dienst \u2013 im vergangenen Jahr haben wir den Betrieb von Klickfarmen untersucht<\/a>, die ihre Dienste zur CAPTCHA-Erkennung anbieten.<\/p>\n

Bis auf dieses zus\u00e4tzliche Feature funktionieren MobOk-Trojaner \u00e4hnlich wie Trojaner der Jocker-Familie. In mehreren F\u00e4llen wurde MobOk als Payload des Triada-Trojaners verbreitet, meistens \u00fcber vorinstallierte Apps auf bestimmten Smartphone-Modellen, \u00fcber inoffizielle WhatsApp<\/a>-Modifikationen oder den alternativen App Store APKPure<\/a>. In wenigen F\u00e4llen sind MobOk-infizierte Apps auch bei Google Play zu finden.<\/p>\n

\u00a0<\/p>\n

Abo-Trojaner in nicht offiziellen Quellen<\/h2>\n

Malware der Vesub-Familie wird dar\u00fcber hinaus auch \u00fcber dubiose Quellen unter dem Deckmantel von Apps verbreitet, die aus bestimmten Gr\u00fcnden aus offiziellen Stores verbannt wurden \u2013 dazu z\u00e4hlen beispielsweise Apps, die den Download von Inhalten aus YouTube, Tubemate, Vidmate oder anderen \u00e4hnlichen Diensten erm\u00f6glichen oder sich als inoffizielle Android-Version von GTA5 tarnen. Dar\u00fcber hinaus kann die Malware auch in Form von kostenlosen Versionen beliebter, teurer Apps wie Minecraft an den Nutzer gebracht werden.<\/p>\n

\"\"

Abo-Trojaner Vesub tarnt sich als Tubemate, Vidmate, GTA5, Minecraft oder GameBeyond<\/p><\/div>\n

Im Gegensatz zu Malware der MobOk- und Jocker-Familien bringen mit Vesub-infizierte Anwendungen dem Nutzer oft gar keinen Nutzen. Unmittelbar nach der Installation schlie\u00dfen diese Trojaner ein unaufgefordertes Abonnement ab und verbergen relevante Fenster vor dem Nutzer, w\u00e4hrend im Vordergrund ein Ladefenster der App angezeigt wird.<\/p>\n

Login per Telefonnummer<\/h2>\n

GriftHorse.ae-Trojaner sind sogar noch fantasieloser. Bei erster Ausf\u00fchrung fordern sie Nutzer zu angeblichen Anmeldezwecken dazu auf, ihre Telefonnummer preiszugeben. Das Abonnement wird abgeschlossen, sobald der Nutzer seine Anmeldeinformationen eingibt und auf \u201eAnmelden\u201c tippt. Das Geld wird dann umgehend vom mobilen Konto abgebucht. Diese Malware pr\u00e4sentiert sich normalerweise als App zum Wiederherstellen gel\u00f6schter Dateien, Bearbeiten von Fotos oder Videos, Scannen von Dokumenten, als \u00dcbersetzungs- oder Navigations-App usw. In Wirklichkeit bieten die infizierten Apps dem Nutzer allerdings keinen dieser Dienste.<\/p>\n

Abonnements mit wiederkehrender Zahlung<\/h2>\n

Der Trojaner GriftHorse.l macht sich Abonnements mit wiederkehrenden Zahlungen zunutze. Offiziell geschieht dies mit der direkten Zustimmung des Nutzers, wobei die Opfer meist nicht merken, dass sie sich f\u00fcr ein Abonnement mit wiederkehrender Zahlung angemeldet haben. Oftmals besteht der Trick bei dieser Methode darin, bei der ersten Zahlung lediglich eine sehr geringe Geldsumme vom Konto des Opfers abzubuchen, w\u00e4hrend sp\u00e4tere Geb\u00fchren merklich h\u00f6her ausfallen.<\/p>\n

Wir haben bereits ein \u00e4hnliches Schema untersucht, bei dem Fake-Websites Abonnements f\u00fcr scheinbare Schulungskurse anbieten. In diesem Fall sind die Mechanismen ungef\u00e4hr gleich, aber in der App selbst implementiert<\/a>. Der Trojaner wird gr\u00f6\u00dftenteils \u00fcber Google Play vertrieben, und das Geld direkt von einer Bankkarte abgebucht.<\/p>\n

So sch\u00fctzen Sie sich vor Betr\u00fcgern<\/h2>\n

Herauszufinden, wie ein ungewolltes Abonnement wieder gek\u00fcndigt werden kann, ist oft nicht leicht. Deshalb gilt auch in diesem Fall: Vorsorge ist besser als Nachsorge. So k\u00f6nnen Sie sich vor Abo-Trojanern sch\u00fctzen:<\/p>\n