Spam-Welle für Android-Geräte nutzt gefälschte Benachrichtigungen

Cyberkriminelle haben eine neue Methode entwickelt, um Spam an Nutzer von Android-Geräten zu verteilen. Sie missbrauchen Programmierschnittstellen für Push-Benachrichtigungen. Darauf weist der Sicherheitsanbieter Lookout hin.

Entdeckt wurde die neue Kampagne von Lookouts Phishing-AI-Dienst, wie Bleeping Computer berichtet. Die gefälschten Benachrichtigungen kommen vom Browser Chrome. Text und Symbol der Benachrichtigung sollen jedoch die wahre Herkunft verbergen. So gibt sich die Benachrichtigung als verpasster Anruf aus. Um eine Interaktion des Nutzers auszulösen, wird zudem vorgegaukelt, ihn erwarte ein neues iPhone XS. Zu diesem Zweck wird auch das Logo der App (in dem Fall Chrome), von der die Benachrichtigung tatsächlich kommt, durch das Icon eines verpassten Anrufs ersetzt.

„Betrüger wollen die Tatsache ausnutzen, dass wir darauf eingestellt sind, bestimmte Symbole zu identifizieren, die wir normalerweise mit Systemmeldungen in Verbindung bringen (in diesem Fall das Symbol des Telefons)“, sagte Jeremy Richards, Sicherheitsforscher bei Lookout.

Damit eine solche gefälschte Benachrichtigung über Chrome eingeblendet werden kann, müssen die Betrüger eine wichtige Hürde nehmen: Der Nutzer muss den Erhalt von Benachrichtigungen einer bestimmten Website zulassen. Derzeit werden die fraglichen Spam-Benachrichtigungen über die Domains consumertestconnect.com, foundmoneyguide.com, getitfree-samples.com, click4riches.com und yousweeps.com verteilt.

Lookout weist dem Bericht zufolge darauf hin, dass nicht in allen Fällen auch die Symbole der Apps verändert werden, die die Benachrichtigungen verschicken. In den Fällen soll der Inhalt der Nachricht alleine ausreichen, einen Nutzer in die Irre zu führen.

Richards schließt nicht aus, dass sich die Spam-Methode auch auf Desktops übertragen lässt, da Browser auch dort das Verschicken von Push-Benachrichtigungen unterstützten. Aber auch dann muss ein Nutzer zuerst dem Erhalt solcher Nachrichten zustimmen.

Der Google-Entwickler Peter Beverloo hat ein browserbasiertes Tool entwickelt, mit dem sich solche gefälschten Benachrichtigungen simulieren lassen. Es erlaubt unter anderem, Titel und Text einer Nachricht zu ändern sowie Bilder und Symbole hinzuzufügen.