/ Security / Betrugsnetzwerk: Kinox.to-Nutzern Abofallen andrehen

Betrugsnetzwerk: Kinox.to-Nutzern Abofallen andrehen

126909-137259-i_rc.jpg
Moritz Rosenfeld on March 27, 2017 - 3:30 am in Security

Sicherheitsforscher des IT-Security-Dienstleisters ERNW haben ausgeklügelte Verfahren zur Verteilung von Abofallen und Wap-Fraud an Android-Geräte gefunden und ihre Forschung auf der Sicherheitskonferenz Troopers in Heidelberg vorgestellt. Demzufolge haben Betrüger zur Tarnung eigene, legitim aussehende Webshops aufgesetzt und Nutzern mit verwundbaren Geräten betrügerische Inhalte untergeschoben. Zu den betroffenen Webseiten gehörte auch Kinox.to. Die durch die Anzeigen und Premiumdienste anfallenden Kosten werden über die monatliche Handyrechnung abgerechnet.

Betroffen waren vor allem Nutzer älterer Android-Geräte, die noch den Android-Stock-Browser nutzen, bis hin zur Android-Version 4.3. Durch verschiedene Schwachstellen konnten die Angreifer die Same-Origin-Policy aushebeln, mit der eigentlich die Ausführung von fremdem Javascript-Code unterbunden werden soll. Konkret verwendet wurde unter anderem die Lücke mit der Bezeichnung CVE-2014-6041. Ähnliche Schwachstellen gibt es aber auch für moderne Browser immer wieder.

Um die Analyse zu erschweren und sich vor Werbenetzwerken wie Google seriös zu präsentieren, nutzten die Angreifer eigens eingerichtete Fake-Webshops, wenn Nutzer mit einem Desktop-Rechner auf die Seite zugriffen oder Smartphones sich über WLAN verbanden. Die betrügerischen Anzeigen wurden also nur ausgeliefert, wenn potenzielle Opfer von einem Smartphone über eine Mobilfunkverbindung auf die Seite zugriffen.

Gute Tarnung durch Fake-Shop

Diese Konstellation dürfte zumindest bei einer oberflächlichen Prüfung von Beschwerden häufig nicht nachgestellt werden und Ermittlungen so erschweren. “Der Webshop sah legitim aus – wir haben allerdings nie probiert, bei den Betrügern auch wirklich etwas zu bestellen”, sagte Sven Nobis, Security-Analyst bei ERNW, Golem.de.

Die betrügerischen Anzeigen wurden bei zahlreichen Webseiten eingebunden – vor allem bei illegalen Streamingportalen: “Bei bestimmten Webseiten wie Kinox.to wurden den Besuchern per Pop-up sehr häufig betrügerische Anzeigen untergeschoben, wenn sie die Seite mit dem Smartphone besucht haben”, sagte Nobis.

Die betrügerischen Netzwerke nutzen dabei verschiedene Webseiten mit unterschiedlichen Domains für ihr Netzwerk, verwenden aber in großen Teilen den gleichen Code. Außerdem arbeiten die Betrüger mit unterschiedlichen Werbenetzwerken, meist werden die Anzeigen über Real-Time-Bidding bei der Versteigerung von Restplätzen bei der Werbevermarktung eingeschleust. Zur Abrechnung werden verschiedene Anbieter genutzt, laut Nobis zum Beispiel Mocopay.

Read more on: Source

Comments are disabled