Categories: MobileSmartphone

Spam-Welle für Android-Geräte nutzt gefälschte Benachrichtigungen

Cyberkriminelle haben eine neue Methode entwickelt, um Spam an Nutzer von Android-Geräten zu verteilen. Sie missbrauchen Programmierschnittstellen für Push-Benachrichtigungen. Darauf weist der Sicherheitsanbieter Lookout hin.

Entdeckt wurde die neue Kampagne von Lookouts Phishing-AI-Dienst, wie Bleeping Computer berichtet. Die gefälschten Benachrichtigungen kommen vom Browser Chrome. Text und Symbol der Benachrichtigung sollen jedoch die wahre Herkunft verbergen. So gibt sich die Benachrichtigung als verpasster Anruf aus. Um eine Interaktion des Nutzers auszulösen, wird zudem vorgegaukelt, ihn erwarte ein neues iPhone XS. Zu diesem Zweck wird auch das Logo der App (in dem Fall Chrome), von der die Benachrichtigung tatsächlich kommt, durch das Icon eines verpassten Anrufs ersetzt.

„Betrüger wollen die Tatsache ausnutzen, dass wir darauf eingestellt sind, bestimmte Symbole zu identifizieren, die wir normalerweise mit Systemmeldungen in Verbindung bringen (in diesem Fall das Symbol des Telefons)“, sagte Jeremy Richards, Sicherheitsforscher bei Lookout.

Damit eine solche gefälschte Benachrichtigung über Chrome eingeblendet werden kann, müssen die Betrüger eine wichtige Hürde nehmen: Der Nutzer muss den Erhalt von Benachrichtigungen einer bestimmten Website zulassen. Derzeit werden die fraglichen Spam-Benachrichtigungen über die Domains consumertestconnect.com, foundmoneyguide.com, getitfree-samples.com, click4riches.com und yousweeps.com verteilt.

Lookout weist dem Bericht zufolge darauf hin, dass nicht in allen Fällen auch die Symbole der Apps verändert werden, die die Benachrichtigungen verschicken. In den Fällen soll der Inhalt der Nachricht alleine ausreichen, einen Nutzer in die Irre zu führen.

Richards schließt nicht aus, dass sich die Spam-Methode auch auf Desktops übertragen lässt, da Browser auch dort das Verschicken von Push-Benachrichtigungen unterstützten. Aber auch dann muss ein Nutzer zuerst dem Erhalt solcher Nachrichten zustimmen.

Der Google-Entwickler Peter Beverloo hat ein browserbasiertes Tool entwickelt, mit dem sich solche gefälschten Benachrichtigungen simulieren lassen. Es erlaubt unter anderem, Titel und Text einer Nachricht zu ändern sowie Bilder und Symbole hinzuzufügen.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Nach NSO-Skandal: Israel verspricht strengere Export-Kontrollen für Cyber-Produkte

Auslöser ist ein weiterer Bericht über den Einsatz von NSO-Tools gegen US-Bürger. Israel untersagt nun…

8 Stunden ago

Erste zertifizierte Secured-Core Windows-Server verfügbar

Sie sind die Gegenstücke sie Secured-Core-PCs. Server mit Secured-Core-Zertifizierung nutzen ein Trusted Platform Module und…

8 Stunden ago

Jede Woche ein Betrugsversuch

Deutsche Verbraucher sind ständig im Visier von Cyberbetrügern. Die Gauner nutzen immer raffiniertere Methoden.

16 Stunden ago

G-Nachweis am Arbeitsplatz

Das Infektionsschutzgesetz verpflichtet Arbeitgeber dazu, die Covid-Zertifikate ihrer Mitarbeiter vor Betreten der Arbeitsstätte zu überprüfen…

17 Stunden ago

Kriminelle ködern mit Covid-Omikron

Cyberkriminelle nutzen neue Entwicklungen rund um das Corona-Virus als thematische Köder für digitale Angriffe verwenden,…

17 Stunden ago

Microsoft drängt Kunden mit höheren Preisen zu langfristigen Abonnements

Betroffen sind kommerzielle Angebote wie Microsoft 365, Windows 365 und Dynamics 365. Der Preisunterschied zwischen…

1 Tag ago