Gefährlicher Handel mit Inklusiv-SMS

Die Sicherheitsexperten von Lookout haben eine Android-App namens Bazuc analysiert, mit der man im Handytarif enthaltene, nicht genutzt Inklusiv-SMS weiterveräußern kann. Die Forscher kommen zu dem Schluss, dass man für einen Verdienst 0,1 US-Cent pro SMS erhebliche Risiken eingeht.

Hinter Bazuc steckt ein SMS-Gateway-Dienst, durch den Firmenkunden zu Kampfpreisen versenden können – in Stückzahlen ab 100.000 und mit legitimen Absendernummern. Die Kurznachrichten werden von den Smartphones verschickt, auf denen die Bazuc-App installiert ist. Während der Smartphone-Nutzer dafür 0,1 US-Cent kassiert, bleibt die vierfache Menge beim Anbieter hängen. Nach den Angaben bei Google Play wurde die App bis zu 50.000 mal installiert, der Entwickler spricht von 100 neuen Teilnehmern pro Stunde.

Abgesehen davon, dass man durch die Nutzung der App sehr wahrscheinlich gegen die Nutzungsbedinungen des Mobilfunkproviders verstößt, ist der Dienst laut Lookout auch für Cyber-Ganoven attraktiv, da die SMS kaum zurückzuverfolgen sind. Dadurch, dass die Absendernummern variieren, könne man darüber auch gängige Antispam-Maßnahmen umgehen.

Aber auch vor dem Versand von Kurznachrichten über das Netzwerk kann man nur abraten: Die SMS kommen nämlich im Klartext bei den Bazuc-Nutzern an, können also leicht mitgelesen werden. Und genau das hat Lookout auch mit einigen Test-Smartphones getan. Dabei stießen die Forscher auf einige Überraschungen: Neben dem zu erwartenden Spam wurden über die Handys auch Nachrichten im Namen amerikanischer und afrikanischer Banken verschickt.

Nach Angaben von Lookout sind diese SMS entgegen erster Vermutungen nicht gefälscht, sondern echt – anscheinend haben die Banken den zweifelhaften Discount-Dienstleister zum Versand von mTan-Nachrichten, PINs, Sicherheitswarnungen und Co. Auch ICQ und IKEA könnten den analyierten SMS zufolge zu den Kunden gehören. (rei)