Android-Trojaner im Play Store missbraucht Push-Benachrichtigungen

Der Sicherheitsanbieter Dr. Web hat erneut schädliche Android-Programme im Google Play Store entdeckt. Sie enthalten einen Android.FakeApp.174 genannten Trojaner, der Nutzer dazu bringen soll, Push-Benachrichtigungen von Websites zu abonnieren. Die wiederum liefern unerwünschte Werbung oder leiten Nutzer gar auf betrügerische Websites weiter, wie Bleeping Computer berichtet.

Im Play Store fanden Forscher von Dr. Web Anfang Juni zwei Varianten des Trojaners, die sich als Apps von Markenanbietern tarnten. Bevor Google die Apps entfernen konnte, brachten sie es zusammen auf rund 1100 Downloads. Auch wenn die Zahl nicht hoch erscheint, ist sie ein Beleg dafür, dass die von den Hintermännern entwickelte Methode erfolgreich war – und somit auch jederzeit wiederholt werden könnte.

Wird eine solche schädliche App installiert, öffnet sie den Chrome-Browser auf einem Android-Gerät. Die Website ist den Forschern zufolge im Trojaner hinterlegt. Sie führt zudem mehrere Weiterleitungen aus, wobei der Nutzer jedes Mal gefragt wird, ob er Push-Benachrichtigungen von dieser Seite zulässt. Um eine Bestätigung zu erhalten, gaukeln die Abfragen zu den Push-Benachrichtigungen den Nutzern vor, sie dienten einer Identitätsprüfung, um beispielsweise eine Nutzung eines Angebots durch Bots auszuschließen.

Tatsächlich abonnieren Nutzer jedoch Push-Benachrichtigungen dieser Websites, die anschließend regelmäßig in der Nachrichtenzentrale des Betriebssystems erscheinen. Sie erscheinen, auch wenn Chrome nicht geöffnet ist. Selbst die Löschung des Trojaners deaktiviert die Push-Benachrichtigungen nicht, da diese in Chrome hinterlegt sind. Die Benachrichtigungen selbst beziehen sich auf angebliche Gewinne, neue Meldungen in Sozialen Medien, Werbung für Waren, Online-Casinos oder Dienstleistungen oder gar Nachrichten. Einige der Push-Benachrichtigungen sollen sogar an Benachrichtigungen von legitimen Online-Angeboten angelehnt sein und beispielsweise Logos von Banken, Nachrichtenagenturen oder Sozialen Netzwerken benutzen. In Einzelfällen sollen Nutzer Dutzende solcher Push-Benachrichtigungen pro Tag erhalten.

Klickt ein Nutzer auf eine der Benachrichtigungen, wird er in der Regel zu einer fragwürdigen Seite weitergeleitet. Die Auswahl ist offenbar nicht nur vom Text der Push-Benachrichtigung, sondern auch von anderen Faktoren wie dem Standort des Nutzers abhängig. Die Bandbreite reicht von Angeboten für Online-Casinos, angebliche Gutscheine, gefälschte Freundschaftsanfragen bis hin zu betrügerischen Sicherheitswarnungen. Einige dieser Websites versuchen, vertrauliche Daten zu stehlen. Andere wiederum sollen zum Kauf von Produkten oder Software verleiten

Dr. Web geht davon aus, dass Cyberkriminelle künftig häufiger Push-Benachrichtigungen für ihre Zwecke einsetzen werden. Sie raten Nutzern, vor allem bei dem Besuch von Websites genau zu prüfen, ob sie über ihren Browser Benachrichtigungen von dieser Seite erhalten wollen. Außerdem sollten sie im Menü von Chrome in den Seiteneinstellungen prüfen, welche Websites ihnen tatsächlich Benachrichtigungen schicken dürfen.