- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Neu entdeckten Klickbetrug-Apps


Taschenlampen-App und beliebte Games als Köder
Klickbetrug mit Gewinnoptimierung: Android-Apps tarnen sich als iPhone-Programme

- Anzeigen -





Profitsteigerung ist eine der Maximen jedes Cyberkriminellen. Da wundert es nicht, dass die SophosLabs nun eine neue Machenschaft aufgedeckt haben, die auf der Tatsache beruht, dass Werbetreibende mehr Geld pro Klick zahlen, wenn dieser von vermeintlich wohlhabenderen iPhone- oder iPad-Besitzern kommt. Da der sogenannte Klickbetrug, bei dem kommerzielle Werbeflächen geklickt oder Klicks zur Manipulation der Abrechnungssysteme simuliert werden, eine wachsende Einnahmequelle für nicht ganz so gesetztestreue App-Entwickler darstellt, scheint es sich auszuzahlen darüber zu lügen, welches Mobilgerät in betrügerischer Absicht die Werbung anklickt.

Diese Entdeckung machten die Experten der SophosLabs, als sie 22 Apps entdeckten, die noch bis November 2018 online waren und zusammen über 2 Millionen Mal heruntergeladen wurden. Denn abgesehen davon, dass die Klickbetrug-Apps bereits seit Monaten unbemerkt ihr Unwesen treiben konnten, war die größte Überraschung, dass diese Android-Apps sich als Apple-Geräte bei den Werbebannern meldeten. Höchstwahrscheinlich um eine höhere Abrechnung für die kriminellen Aktivitäten zu erreichen.

Der Großteil der Klickbetrug-Apps wurde ab Juni 2018 aktiv, es gibt allerdings auch drei Apps, die bereits seit letztem Jahr im Play Market verfügbar waren. Dazu gehört die "Sparkle Flashlight- App, die mindesten eine Million Mal heruntergeladen wurde. Allerdings gingen die drei ältesten Apps nicht mit krimineller Energie live, sondern scheinen zusammen mit dem Start der neueren Apps im Sommer dieses Jahres mit dem Klickbetrug-Code trojanisiert worden zu sein. Google hat mittlerweile alle dieser Apps von seiner Plattform entfernt, allerdings bleibt die Command-and-Control-Serverstruktur trotz dieser Aktion erhalten. Entsprechend können alle Apps aus dieser Betrugswelle (Liste am Ende des Artikels) weiterhin aktiv sein, solange sie auf dem Smartphone installiert sind.

Neue Qualität beim Wolf im Schafspelz

"Im Vergleich zu bekannter Ad-Clicker-Malware hat die Funktionalität der neu entdeckten Klickbetrug-Apps signifikante Verbesserungen erfahren", so Sophos-Experte Michael Veit. "Die Programme sind nicht nur langlebiger und flexibler, sondern können ihr wahren Absichten auch sehr viel effektiver verbergen. Unter dem Deckmäntelchen beliebter Anwendungen wie Games oder praktische Helferlein besitzen die Apps nämlich auch Downloader-Ressourcen, wenn der Command and Control Server diese aktiviert. Bei "Sparkle Flashlight" hat der C&C-Server die Malware z.B. angewiesen, Werbebanneranfragen zu simulieren, die von verschiedenen Apps und Mobilgeräten kommen". Das Hinterhältige daran: Die Werbeklicks resultieren nicht in nervenden Fullscreen-Anzeigen, die den Anwender stutzig machen, sondern die ganze Aktion läuft im Hintergrund über ein verstecktes Browserfenster ab. Hier simuliert der Wolf im Schafspelz dann die Interaktion mit den Werbebannern. Potentielle Hinweise für den Nutzer sind deshalb lediglich ein höherer Daten- und Akkuverbrauch. Allerdings können diese Effekte vom Nutzer kaum mit der genutzten Klickbetrug-App in Verbindung gebracht werden. Deshalb hatten die Anwendungen bis zu ihrer Löschung im Store zum Großteil sogar gute Bewertungen mit 4 Sternen und mehr.

Abgesehen von dieser neuen Verschleierungsqualität ist der Klickbetrug nicht die einzige Gefahr, die von diesen Apps ausgeht. Aufgrund ihrer Verbindung mit einem C&C-Server können beliebige Datenpakete mit Schadcode auf die Geräte geladen werden. Zudem kommt hinzu, dass der Klickbetrug auch aktiv ist, wenn die App selbst nicht läuft. Aufgrund dieser Faktoren haben die SophosLabs diese Programme als "bösartig" und nicht nur "potentiell unerwünscht" eingestuft und unter dem Namen Andr/Clickr-AD registriert.

Sophos-Liste der Klickbetrug-Apps:
Sparkle FlashLight, Snake Attack, Math Solver, ShapeSorter, Tak A Trip, Magnifeye, Join Up, Zombie Killer, Space Rocket, Neon Pong, Just Flashlight, Table Soccer, Cliff Diver, Box Stack, Jelly Slice, AK Blackjack, Color Tiles, Animal Match, Roulette Mania, HexaFall, HexaBlocks, PairZap.
(Sophos: ra)

eingetragen: 08.12.18
Newsletterlauf: 11.01.19

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Hacker gehen auf Butterfahrt

    GuardiCore hat eine Hacking-Kampagne aufgedeckt, bei der ein Remote-Access-Trojaner (RAT) mit DDoS-Funktion samt Krypto-Miner installiert werden. Die "Butter" genannte Schadsoftware agiert im Hintergrund und wird zur Verwischung ihrer Spuren als Linux-Kernel-Rootkit getarnt. GuardiCore entwickelt IT-Sicherheitstechnologien und erstellt mit einem weltweiten Forscherteam sicherheitsbezogene IT-Analysen, Rechercheberichte und Gegenmaßnahmen für aktuelle Bedrohungen.

  • Angriffe gegen kritische Infrastrukturen

    Das Cylance Threat Intelligence Team hat in seiner Reihe "Threat Intelligence Bulletin" einen neuen Beitrag von Jon Gross veröffentlicht. Er befasst sich mit der bereits drei Jahre andauernden Kampagne, die unter dem Namen "Poking the Bear" bekannt geworden ist, und sich gegen kritische Infrastrukturen in Russland richtet. Die Sicherheitsanalysten von Cylance haben Beweise für anhaltende Angriffe, die sich gegen kritische Infrastrukturen/Unternehmen richten, die sich in russischem Staatsbesitz befinden. Dazu gehört auch der größte und börsennotierte Ölkonzern Rosneft. Bei der Attacke handelt es sich vermutlich um einen kriminellen Angriff aus finanziellen Motiven.

  • Neu entdeckten Klickbetrug-Apps

    Profitsteigerung ist eine der Maximen jedes Cyberkriminellen. Da wundert es nicht, dass die SophosLabs nun eine neue Machenschaft aufgedeckt haben, die auf der Tatsache beruht, dass Werbetreibende mehr Geld pro Klick zahlen, wenn dieser von vermeintlich wohlhabenderen iPhone- oder iPad-Besitzern kommt. Da der sogenannte Klickbetrug, bei dem kommerzielle Werbeflächen geklickt oder Klicks zur Manipulation der Abrechnungssysteme simuliert werden, eine wachsende Einnahmequelle für nicht ganz so gesetztestreue App-Entwickler darstellt, scheint es sich auszuzahlen darüber zu lügen, welches Mobilgerät in betrügerischer Absicht die Werbung anklickt.

  • "Outlook-Harvesting" von Emotet

    Gefälschte E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten - Schadsoftware (Malware), die ganze Unternehmensnetzwerke lahmlegt: Emotet gilt als eine der gefährlichsten Bedrohungen durch Schadsoftware weltweit und verursacht auch durch das Nachladen weiterer Schadprogramme aktuell hohe Schäden auch in Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen eine auffällige Häufung an Meldungen zu schwerwiegenden IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit Emotet stehen. In Einzelfällen ist es bei den Betroffenen durch Ausfälle der kompletten IT-Infrastruktur zu Einschränkungen kritischer Geschäftsprozesse gekommen, die Schäden in Millionenhöhe nach sich ziehen. Daneben sind dem BSI weitere Fälle mit weniger schwerem Verlauf gemeldet worden, bei denen Malware-Analysten des BSI Emotet-Infektionen nachweisen konnten.

  • Antivirtuelle Maschinen- & Anti-Sandboxing-Technik

    Ein neuer Bericht von CenturyLink zeigt auf, dass das Mylobot-Botnetz nach dem Infizieren eines Computers noch andere Arten von Schadsoftware herunterladen und so größeren Schaden beim Diebstahl von Informationen verursachen kann. Mylobot enthält hochentwickelte antivirtuelle Maschinen- und Anti-Sandboxing-Techniken, um seine Erkennung und Analyse zu erschweren. Dazu gehört unter anderem die Fähigkeit, bis zu 14 Tage zu ruhen, bevor der Command and Control Server (C2) kontaktiert wird. Seit der Identifizierung im Juni 2018 haben die CenturyLink Threat Research Labs beobachtet, wie Mylobot Khalesi als zweiten Angriff auf infizierte Hosts herunterlädt. Bei Khalesi handelt es sich um eine weitverbreitete Malware-Familie, die vor allem auf Diebstahl von Informationen abzielt.