10.11.2017 | Bochum, Autor: Tim Berghoff

Blick zurück nach vorn – WAP-Billing und moderne Android-Schadsoftware

Xafecopy tarnt sich als Akku-Tuner

Jeder, der schon einmal unabsichtlich ein Abo per Mobiltelefon abgeschlossen hat, weiß, wie ärgerlich und teuer das werden kann und wie schwierig es oft ist, aus einer solchen Abofalle wieder heraus zu kommen. Eine neu entdeckte Schadsoftware kann unbemerkt dutzende solcher Abos abschließen und so für eine böse Überraschung bei der nächsten Rechnung sorgen.

WAP-Billing ist nicht neu

Schon vor 15 Jahren waren diese Abos ein beliebtes und lukratives Geschäftsmodell, das unter anderem auf Musiksendern äußerst aggressiv beworben wurde. Wer eine SMS mit einem bestimmten Wort an eine bestimmte Nummer sendete, zahlte jede Woche per Mobilfunkrechnung einen bestimmten Betrag und bekam dafür Hintergrundbilder, Klingeltöne oder Horoskope – und nicht immer waren diese Abos also solche erkennbar. Das rief schon damals zahlreiche Verbraucherschützer auf den Plan.

Noch heute wird das so genannte WAP-Billing genutzt, um für bestimmte Dienste zu zahlen oder auch um Spenden zu sammeln. Zahlungsmittel ist hier effektiv die eigene Mobilfunknummer. Diese muss entweder auf einer Internetseite eingegeben werden oder der Benutzer wird gebeten, ein Wort in einer Textnachricht zu senden.

Was bedeutet eigentlich "WAP"?

WAP steht für Wireless Access Protocol (Drahtloses Zugangsprotokoll) und bezeichnet eine Sammlung von Technologien, die insgesamt Vorreiter des heutigen mobilen Internets sind. In den späten Neunzigern waren die Mobilfunkgeräte verfügbar, die per WAP auf das Internet zugreifen können. Unter Anderem wurden auch MMS-Dienste in der Regel über WAP abgewickelt. Die Abrechnung für den Datenverkehr erfolgte in der Regel pro Klick. Zudem konnte WAP auch für Bezahldienste genutzt werden – oftmals zum Leidwesen der Betroffenen. Mittlerweile sind Mobilfunkanbieter dazu übergegangen, beim Zugriff auf einen kostenpflichtigen WAP-Dienst die Anfrage zunächst umzuleiten, um den Kunden darauf aufmerksam zu machen, dass sie im Begriff sind, auf ein kostenpflichtiges Angebot zuzugreifen.

Missbrauch durch Malware

Beide Methoden werden von einer recht neuen Android-Schadsoftware, die sich als Akku-Optimierungs-App ausgibt, automatisiert und im Hintergrund ausgeführt. Unbemerkt ruft die App Internetseiten auf, um dort Abos abzuschließen. Man bekommt selbst davon nichts mit – bis zur nächsten Rechnung. Natürlich sind die Anbieter solcher Abo-Dienste gezwungen, bestimmte Sicherheitsmaßnahmen zu ergreifen, um Missbrauch zu verhindern. So muss jemand, der ein Abo abschließen möchte, beispielsweise auf einer Webseite ein Captcha lösen oder einen per SMS erhaltenen Bestätigungscode eingeben. Auch diese Maßnahmen umgeht der Schädling, indem er am Mobilgerät Tasteneingaben simuliert und diese im Hintergrund verschickt. Auf diese Weise kann die Schadsoftware unbemerkt eine theoretisch unbegrenzte Anzahl von Abos abschließen.

Hinweise deuten darauf hin, dass die App ihren Ursprung im asiatischen Raum hat.

Wie man sich schützen kann

  1. Prüfen Sie die Berechtigungen, die eine App fordert und überlegen Sie, ob diesem im Zusammenhang Sinn ergeben. Warum sollte eine Akku-App die Berechtigung zum Versenden von Premium-SMS haben? In aktuelleren Android-Versionen kann man bestimmte Berechtigungen zwar auch im Nachhinein widerrufen, aber dennoch sollte man sich diese Gedanken vorher machen
  2. Richten Sie bei Ihrem Mobilfunkanbieter eine so genannte Drittanbietersperre ein.
    Damit wird es unmöglich, Abos per WAP-Billing abzuschließen. Somit liefe dieser Angriff ins Leere. Anbieter haben hierfür unterschiedliche Bezeichnungen, wie etwa „Mehrwertdienste“. Die Anbieter sind gesetzlich dazu verpflichtet, eine solche Sperre auf Bitten des Mobilfunknutzers einzurichten.
  3. Installieren Sie einen guten Malwareschutz auf Ihrem Mobilgerät.

Weitere Informationen

Alle technischen Details zum Xafecopy-Schädling können Sie im nachstehenden ausführlichen Analysebericht nachlesen (in englischer Sprache). 


Share this article

G DATA | Trust in German Sicherheit