Android-Trojaner zweckentfremdet Push-Benachrichtigungen für Schadinhalte

Im Play Store haben Sicherheitsexperten Trojaner-Apps entdeckt. Diese erschlichen sich Rechte für Push-Nachrichten, um Nutzer auf dubiose Seiten zu locken.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Android-Trojaner zweckentfremdet Push-Benachrichtigungen für Schadinhalte

(Bild: Derlusca)

Lesezeit: 2 Min.
Von
  • Keywan Tonekaboni

Sicherheitsforscher von Doctor Web haben in Googles Play Store mehrere (mittlerweile entfernte) Apps entdeckt, die den Trojaner Android.FakeApp.174 enthielten. Nach der Installation öffnete dieser den Chrome-Browser von Google und leitet die Anwender auf eine präparierte Website weiter. Dort versuchten die Internetkriminellen, sich eine Erlaubnis für Push-Benachrichtigungen in Chrome zu erschleichen.

Zu diesem Zweck forderte die Zielseite den Nutzer auf, den eingeblendeten Dialog zu bestätigen; beispielsweise um zu beweisen, dass man kein Bot sei. In Wirklichkeit handelt es sich beim vermeintlichen Dialogfenster um die Bestätigungsschaltfläche für Web-Push-Benachrichtigungen.

Für die benötigten Privilegien werden aber auch übliche Interaktionsmuster imitiert.

(Bild: Doctor Web)

Fiel der Nutzer auf diesen Trick herein, erhielt er anschließend dutzende Benachrichtigungen – dank der unwissentlich erlaubten Push-Benachrichtigungen selbst dann, wenn Chrome bereits wieder geschlossen worden war. Das passierte sogar dann noch, wenn die App entfernt wurde, denn die Erlaubnis für die Benachrichtigungen war ja in den Chrome-Einstellungen hinterlegt.

Eigentlich soll die Webpush-Schnittstelle auf Veränderungen oder neue Nachrichten hinweisen, etwa auf einer News-Webseite oder im Webmailer. In diesem Fall aber verteilen die Übeltäter so Werbung und imitieren Nachrichten von bekannten Apps oder Systemmeldungen. Dazu verwenden sie teilweise Logos von Banken oder Dating-Portalen. So sollen die Nutzer auf dubiose Webseiten gelockt werden. Diese reichen von weiteren Play-Store-Apps über Online-Kasinos und -Wettbüros bis hin zu angeblichen Gewinnenspielen. Die genauen Inhalte variieren laut Doctor Web stark und hängen unter anderem auch vom Aufenthaltsland des jeweiligen Users ab.

Die Nachrichten verweisen auf Gewinnspiele und suggerieren Nachrichten in Sozialen Netzwerken.

(Bild: Doctor Web)

In ihrem Bericht zu Android.FakeApp.174 schreiben die Experten von Doctor Web, dass die App lediglich ungefähr 1.100 Mal herunterladen wurde, bevor Google die Apps entfernte. Sie befürchten aber, dass Internetkriminelle in Zukunft verstärkt von der Methode, mittels Push-Mitteilungen Nutzer in eine Falle zu locken, Gebrauch machen könnten. Zwar wird die Quelle der Benachrichtigungen angezeigt, aber ungeübte oder unaufmerksame Nutzer könnten trotzdem leicht darauf reinfallen.

Möchte man die Benachrichtigungen einer Website abschalten, öffnet man dazu in Chrome die Einstellungen. Unter dem Eintrag "Website-Einstellungen" findet sich jener für "Benachrichtigungen". Dort sind alle Webseiten aufgelistet, die Benachrichtigungen anzeigen dürfen. Durch einen Klick auf die jeweiligen Einträge kommt man zu den Details und entfernt die Berechtigung über die Schaltfläche "Löschen und zurücksetzen". (ktn)