- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

"Boost Views" greift PayPal-Zahlungsdaten ab


Fake-Apps: Angriff auf PayPal und Bitcoins
Zwei gefährliche Fake-Apps im Google Play Store analysiert, die es auf die Zahlungsdaten der Nutzer abgesehen haben

- Anzeigen -





Fürs Videoschauen bezahlt werden, den Traffic des YouTube-Kanals steigern oder ganz einfach vom Smartphone aus Bitcoins kaufen und verkaufen? Die Entwickler der Fake-Apps "Boost Views” und "PaxVendor” möchten Android-User glauben lassen, dass sie die passenden Anwendungen dafür bieten. Dabei haben es die Cyberkriminellen nur auf die Zahlungsdaten der Nutzer abgesehen. Der europäische Security-Software-Hersteller ESET hat beide Fake-Apps enttarnt und stellt die Analyse in einem ausführlichen Blogpost vor.

Unter dem Deckmantel, eine YouTube-bezogene Dienstleistung anzubieten, hat sich "Boost Views" auf bis zu 100.000 Geräte geschlichen. Die App verspricht Nutzern, Einnahmen durch das Ansehen von Videos zu generieren. Die angeblich angehäufte Gutschrift sollen die Nutzer auf ihr PayPal-Konto transferieren können. Dafür werden sie aufgefordert, ihre Login-Daten in ein ungesichertes Authentifizierungsformular einzugeben.

Tatsächlich werden die PayPal-Anmeldeinformationen aber im Hintergrund unverschlüsselt an den Entwickler-Server gesendet. Mit dem nun kompromittierten PayPal-Konto stehen den Cyberkriminellen Tür und Tor für finanziellen Missbrauch offen.

"PaxVendor" will sich Zugriff auf Bitcoin-Handelsplatz verschaffen
Während "Boost Views" darauf abzielt, PayPal-Konten zu kompromittieren, möchte sich "PaxVendor" Zugang zu Bitcoins verschaffen: Die schädliche App versucht, an Login-Daten des Bitcoin-Handelsplatzes Paxful zu kommen. Derzeit gibt es noch keine offizielle App von Paxful, um von einem Android-Smartphone aus den Service zuzugreifen.

Die Fake-App "PaxVendor" fordert den Nutzer zunächst auf, eine etwaige Google- oder SMS-Autorisierung in ihrem Paxful-Konto zu deaktivieren, um potenzielle Hindernisse durch die Zwei-Faktor-Authentifizierung zu vermeiden. Im Anschluss werden die Login-Daten abgefragt. Gibt der Nutzer seine Anmeldeinformationen preis, wird eine Fehlermeldung angezeigt. Im Hintergrund werden jedoch die Login-Daten an den Server der Cyberkriminellen geschickt. Sie können damit auf das Konto zugreifen und Transaktionen mit Bitcoins tätigen.

Wie können sich Nutzer schützen?
Nutzer, die "Boost Views" heruntergeladen und versucht haben, Geld auf ihr PayPal-Konto zu transferieren, sollten umgehend das PayPal-Passwort ändern. Zusätzlich sollten verdächtige Kontobewegungen überprüft und gegebenenfalls an PayPal gemeldet werden. Gleiches gilt für diejenigen, die "PaxVendor" installierten. User sollten sofort ihr Paxful-Passwort ändern und alle Aktivitäten auf ihrem Paxful-Konto überprüfen. Im Anwendungsmanager können beide Fake-Apps vom Smartphone entfernt werden. (Eset: ra)

eingetragen: 15.05.17
Home & Newsletterlauf: 16.06.17


Eset: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Infektion über Filesharing-Seiten

    Mehr als eine halbe Million Nutzer sind von einer Malware-Kampagne betroffen, die infizierte Systeme zu einem Botnet hinzufügt. Die Malware ist komplex und extrem anpassungsfähig. So schaffte es "Stantinko", über fünf Jahre lang unentdeckt zu agieren und ein Botnet von mehr als 500.000 infizierten Systemen zu bilden. Das ist das Ergebnis einer umfassenden Untersuchung der europäischen Security-Software-Herstellerin Eset. Die meisten Betroffenen entdeckte Eset in Russland und in der Ukraine. Stantinko infiziert Systeme über Filesharing-Webseiten und lockt Nutzer mit kostenloser Software. Die Entwickler haben die Malware clever getarnt: Der Infektionsvektor installiert eine Reihe auffälliger Anwendungen, gleichzeitig wird das Schadprogramm unauffällig im Hintergrund installiert. Stantinko ist so komplex aufgebaut, dass die Malware nur schwer entdeckt werden kann.

  • Unfertige Spyware Rurktar aufgetaucht

    In den G Data Security Labs ist eine Spyware aufgetaucht, die ihren Ursprung scheinbar in Russland hat. Das lässt sich durch die internen Fehlermeldungen der Software zurückverfolgen. Ob hinter der Programmierung der Schadsoftware ganze Entwicklerteams oder eine einzelne Person stecken, ist indes noch unklar.

  • Mac-Version der Windows-Malware WERDLOD

    Forscher von Trend Micro haben die vor kurzem entdeckte Malware OSX_DOK eingehend analysiert. Dabei zeigte sich, dass der Trojaner ausschließlich Daten von Schweizer Nutzern abfängt, die er an ihrer IP-Adresse erkennt. OSX_DOK stellt die Mac-Version der Windows-Malware WERDLOD dar, die bereits 2014 in dem als "Operation Emmental" bekannten Angriff auf Schweizer Bankkunden verwendet wurde.

  • Wie eine Petya-Infektion abläuft

    Die besonders bösartige Ransomware-Familie Petya hat einige Ähnlichkeit mit der WannaCry-Ransomware Anfang Mai, doch wurde die Kampagne deutlich professioneller durchgeführt. Die Auswirkungen für Firmen waren deutlich schlimmer. Die Malware aus der Petya-Familie handelt. verhält sich laut Angaben von F-Secure wie ein Netzwerk-Wurm, der sich über die gleiche SMB-Schwachstelle wie WannaCry verbreitet. Dabei setzt die Ransomware auf das ExternalBlue Exploit, das von der NSA entwickelt und im Internet veröffentlicht wurde. Jarkko aus den F-Secure Labs beschreibt Petya in einem Blogpost von 2016 als eine Ransomware mit einem bösartigen Twist. Sie verschlüsselt nicht nur einzelne Dateien, sondern die komplette Festplatte. Bis die Infektion entfernt wurde, ist das System kaum nutzbar.

  • Weitere aggressive Ransomware

    Knapp eine Woche nach der WannaCry-Ransomware-Attacke haben Sicherheitsforscher eine weitere aggressive Ransomware entdeckt. XData hat bereits Hunderte von Rechnern in der Ukraine infiziert. In weniger als 24 Stunden ist es der Ransomware gelungen sich auf den infizierten Rechnern ein starkes Standbein zu verschaffen. Der Fakt allein wäre schon erwähnenswert. Es kommt aber noch etwas anderes hinzu, ausreichend interessant für enthusiastische Anhänger von kriminellen Intrigenspielen und konspirativen Theorien. Es hat sich herausgestellt, dass XData ursprünglich auf eine ältere Ransomware unter dem Namen AES-NI zurückgeht. Seit dem ersten Aufkommen der XData-Ransomware hat der vermutliche Entwickler von AES-NI zahlreiche Sicherheitsexperten und Journalisten angesprochen und jede Verbindung zur XData-Malware geleugnet. Unabhängig von den zugrunde liegenden Motiven schickt sich XData jetzt offensichtlich an, sich auch außerhalb der Ukraine zu verbreiten.