• IT-Karriere:
  • Services:

Betrugsnetzwerk: Kinox.to-Nutzern Abofallen andrehen

Eine Betrugskampagne nutzt Sicherheitslücken im Stock-Browser von Android aus, um Nutzern Abofallen und Premiumdienste zuzuschieben. Die Betrüger bauen gefälschte Webshops auf, um legitim zu erscheinen.

Ein Bericht von veröffentlicht am
Auch Kinox.to verteilte betrügerische Anzeigen.
Auch Kinox.to verteilte betrügerische Anzeigen. (Bild: Screenshot Golem.de)

Sicherheitsforscher des IT-Security-Dienstleisters ERNW haben ausgeklügelte Verfahren zur Verteilung von Abofallen und Wap-Fraud an Android-Geräte gefunden und ihre Forschung auf der Sicherheitskonferenz Troopers in Heidelberg vorgestellt. Demzufolge haben Betrüger zur Tarnung eigene, legitim aussehende Webshops aufgesetzt und Nutzern mit verwundbaren Geräten betrügerische Inhalte untergeschoben. Zu den betroffenen Webseiten gehörte auch Kinox.to. Die durch die Anzeigen und Premiumdienste anfallenden Kosten werden über die monatliche Handyrechnung abgerechnet.

Inhalt:
  1. Betrugsnetzwerk: Kinox.to-Nutzern Abofallen andrehen
  2. Die Betreiber verstecken sich gut

Betroffen waren vor allem Nutzer älterer Android-Geräte, die noch den Android-Stock-Browser nutzen, bis hin zur Android-Version 4.3. Durch verschiedene Schwachstellen konnten die Angreifer die Same-Origin-Policy aushebeln, mit der eigentlich die Ausführung von fremdem Javascript-Code unterbunden werden soll. Konkret verwendet wurde unter anderem die Lücke mit der Bezeichnung CVE-2014-6041. Ähnliche Schwachstellen gibt es aber auch für moderne Browser immer wieder.

Um die Analyse zu erschweren und sich vor Werbenetzwerken wie Google seriös zu präsentieren, nutzten die Angreifer eigens eingerichtete Fake-Webshops, wenn Nutzer mit einem Desktop-Rechner auf die Seite zugriffen oder Smartphones sich über WLAN verbanden. Die betrügerischen Anzeigen wurden also nur ausgeliefert, wenn potenzielle Opfer von einem Smartphone über eine Mobilfunkverbindung auf die Seite zugriffen.

Gute Tarnung durch Fake-Shop

Diese Konstellation dürfte zumindest bei einer oberflächlichen Prüfung von Beschwerden häufig nicht nachgestellt werden und Ermittlungen so erschweren. "Der Webshop sah legitim aus - wir haben allerdings nie probiert, bei den Betrügern auch wirklich etwas zu bestellen", sagte Sven Nobis, Security-Analyst bei ERNW, Golem.de.

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Frankfurt am Main, Wolfsburg, Braunschweig, München
  2. PDR-Team GmbH, Schwäbisch Gmünd

Die betrügerischen Anzeigen wurden bei zahlreichen Webseiten eingebunden - vor allem bei illegalen Streamingportalen: "Bei bestimmten Webseiten wie Kinox.to wurden den Besuchern per Pop-up sehr häufig betrügerische Anzeigen untergeschoben, wenn sie die Seite mit dem Smartphone besucht haben", sagte Nobis.

Die betrügerischen Netzwerke nutzen dabei verschiedene Webseiten mit unterschiedlichen Domains für ihr Netzwerk, verwenden aber in großen Teilen den gleichen Code. Außerdem arbeiten die Betrüger mit unterschiedlichen Werbenetzwerken, meist werden die Anzeigen über Real-Time-Bidding bei der Versteigerung von Restplätzen bei der Werbevermarktung eingeschleust. Zur Abrechnung werden verschiedene Anbieter genutzt, laut Nobis zum Beispiel Mocopay.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Die Betreiber verstecken sich gut 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. täglich neue Deals bei Alternate.de
  3. (reduzierte Überstände, Restposten & Co.)

crazypsycho 27. Mär 2017

Warum sollte man SMS deaktivieren? Sehe da keinen Sinn drin. Kollege nicht erreichbar...

Anonymer Nutzer 27. Mär 2017

(Nelson)

Andre_af 27. Mär 2017

Bzgl. des Bagateldeliktes sehe ich das anders. Auch wenn es kein Klauen ist so sollte es...

ManuPhennic 26. Mär 2017

Es gibt auch grottige CAM Rips welche mit über 2 GB zu buche schlagen

__destruct() 25. Mär 2017

Hab die bisher nie für was anderes als sha256sum verwendet. Wenn ich sie stärker...


Folgen Sie uns
       


The Outer Worlds - Fazit

Das Rollenspiel The Outer Worlds schickt Spieler an den Rand der Galaxie. Es erscheint am 25. Oktober 2019 und bietet spannende Missionen und Action.

The Outer Worlds - Fazit Video aufrufen
Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

VW-Logistikplattform Rio: Mehr Fracht transportieren mit weniger Lkw
VW-Logistikplattform Rio
Mehr Fracht transportieren mit weniger Lkw

Im Online-Handel ist das Tracking einer Bestellung längst Realität. In der Speditionsbranche sieht es oft anders aus: Silo-Denken, viele Kleinunternehmen und Vorbehalte gegenüber der Digitalisierung bremsen den Fortschritt. Das möchte Rio mit seiner Cloud-Lösung und niedrigen Preisen ändern.
Ein Bericht von Dirk Kunde

  1. Vernetzte Mobilität Verkehrsunternehmen könnten Datenaustauschpflicht bekommen
  2. Studie Uber und Lyft verschlechtern den Stadtverkehr
  3. Diesel-Ersatz Baden-Württemberg beschafft Akku-Elektrotriebzüge Mireo

Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

    •  /