Manipulation und Diebstahl im Google Play Store

Mehr als 1 Prozent der rund 420.646 Apps sind von Entwicklern gestohlen und für illegale Gewinne überarbeitet, laut einer neuen Studie von Bitdefender zu Google Play. Die Studie zeigt, dass die Applikationen, die von 2.140 überprüften Entwicklern hochgeladen wurden, zu mehr als 90% identisch (abgesehen von der Code-Bibliothek) mit der Arbeit anderer Entwickler im offiziellen Android Store sind.

Um als eine Kopie zu gelten, müssen die beiden Programme mehr als 90 Prozent des Codes teilen, ausgeschlossen der Code-Bibliothek – die Bits des Codes, die rechtlich von mehreren Entwicklern genutzt werden können. Zum Beispiel ist eine SDK für Werbung eine Code-Bibliothek oder ein Stück Code, der in mehreren Applikationen verwendet werden kann, um Anzeigen zu zeigen.

"Diese Duplikate oder überarbeiteten Anwendungen sollten nicht mit verschiedenen Versionen einer App verwechselt werden", sagte Bitdefender Chief Security Strategist Catalin Cosoi. "Hier handelt es sich um einen Publisher, der eine Applikation nimmt, den Code rekonstruiert, aggressive SDKs für Werbung oder andere Beacon hinzufügt, dann wiederverpackt und sie als seine eigene verteilt."

Von den 420.646 analysierten Applikationen im Google Play Store waren mehr als 5.077 APKs Kopien anderer Apps. Einige kamen mit Zusatzmodulen, die radikal die Art und Weise, wie sich die Applikation auf dem installierten Gerät verhält, verändern. Einige dieser Applikationen enthalten zusätzliche Module, die verwendet werden, um Zugriff auf die Lage zu erhalten, um die Geräte-ID zu beziehen oder auf Social Media-Plattformen, wie Facebook und Twitter, zu zugreifen.

Rekonstruktion und APKs

Durch das Design können Android-Applikationen zerlegt, modifiziert und wieder zusammengesetzt werden, um neue Funktionalitäten zur Verfügung zu stellen. Dadurch kann ein Angreifer eine APK leicht aus dem Play Store ziehen, es in einen Programmcode umwandeln, ändern und es als seine eigene verteilen.

Die meisten änderungen fügen ein neues SDK für Werbung in der manipulierten und wiederverpackten App hinzu oder ändern die ID für Werbung aus der Original-App, sodass Einnahmen durch Werbe-Plattformen von dem ursprünglichen Entwickler zu der Person, die ihre Applikation plagiiert hat, umgeleitet wird.

Andere Modifikationen fügen zusätzliche Werbe-Module hinzu, um weitere Daten von den Nutzern zu erhalten, als der ursprüngliche Entwickler geplant hatte. Des Weiteren, wenn ein Entwickler zunächst nur UDIDs und E-Mail-Adressen sammelt, kann eine plagiierte Applikation erweitert werden, um Icons auf dem Bildschirm zu setzen, Notification-Bars zu spammen etc., um die Einnahmen des Hijackers zu maximieren.

*Aktionen, nach denen in den Original-Apps nicht gefragt wird, aber in den manipulierten und wiederverpackten Versionen präsent sind.

Die Grafik oben zeigt, was Publisher in manipulierte und wiederverpackte Apps integrieren. 7,76 Prozent der änderungen an den wiederverpackten Apps ermöglichen einer unberechtigten Partei Telefonate von dem mobilen Gerät zu tätigen und 7,25 Prozent erlauben es die Anruf-Historie zu lesen. Während einige Apps legaler Weise den Zugriff auf einige Daten auf dem Telefon benötigen und die Inhaber ausdrücklich um Erlaubnis fragen, greifen andere auf die Informationen zu, ohne diese explizit zu brauchen, um angemessen durchgeführt werden zu können. Berechtigungen, die Apps erlauben SMS zu senden, belaufen sich auf 3,15 Prozent, während einige Apps sogar die Kontaktlisten lesen können und Zugriff auf die Fotos haben.

Nachdem diese änderungen an der ursprünglichen Applikation vollzogen wurden, legt der Plagiator ein Publisher-Profil im Google Play Store an, lädt die modifizierten APKs hoch und wartet auf Nutzer, die die Applikationen installieren.

Airpush, Apperhand, InMobi, Leadbolt und Jumptap sind die am häufigsten verwendeten SDKs für Werbung (aufgelistet in der Reihenfolge nach der Häufigkeit), die in den analysierten manipulierten Apps gefunden wurden, ergab die Studie von Bitdefender.

Anstatt Tausende oder Hunderttausende von Dollar für die Entwicklung, das Testen und die Vermarktung einer großen Anwendung aufzubringen, wählen Plagiatoren den Weg, der weniger Zeit- und kostenintensiv und ressourcenintensiv ist, indem sie einfach eine erfolgreiche Applikation auf Kosten der  ursprünglichen Entwickler-Ausgaben stehlen.

Diebstahl schädigt sowohl Verbraucher als auch Entwickler gleichermaßen

Mobile Social-Media-Apps wie Facebook und Twitter verzeichnen Hunderte von Millionen von Installationen – und ziehen die Aufmerksamkeit der Plagiatoren an. Wir fanden einige Duplikate der Original-Apps, die genau die gleichen Funktionen wie das Original anbieten und sich nur in der Farbe und dem Hintergrund unterschieden. Aufgrund der Beliebtheit der ursprünglichen Apps, erfreuen sich auch Nachahmer von Facebook und Twitter mit je 10.000 bis 50.000 Installationen großer Beliebtheit.

Einige andere Plagiatoren verdienen Geld, indem sie einen zusätzlichen SDK für Werbung zu dem ursprünglichen Code hinzufügen und es in eine neue App packen. Auf diese Weise leiten die betrügerischen Entwickler die Gewinne der Entwickler der ursprünglichen Anwendungen in ihre eigene Tasche um. Dies beeinflusst den Return on Investment und entmutigt vielleicht sogar einen kleinen Entwickler neue Versionen der Applikation zu veröffentlichen.

Dieser Art von Diebstahl hat auch Auswirkungen auf den Endverbraucher: während ein legaler Entwickler versucht den Ruf ihrer Arbeit zu schützen und eine Balance zwischen Werbeeinnahmen mit der Menge der Eingriffe in das Privatleben des Kunden zu schaffen, verfahren Plagiatoren weniger gewissenhaft und versuchen die Profile und die Geräte des Nutzers zu erkunden. Darüber hinaus erhält der Kunde von einer manipulierten und wiederverpackten App keine Updates oder Unterstützung von dem Plagiator.

Unkalkulierbarer Geschäftsverlust

Die tatsächlichen finanziellen Auswirkungen von Plagiaten auf den Entwickler sind schwer zu berechnen, da alle Fälle Verletzungen geistigen Eigentums darstellen. Es scheint jedoch, dass die Einnahmen, die die Plagiatoren durch den Diebstahl der Applikationen erzielen, genug Motivation darstellen, um sie im Spiel zu halten: da diese Praxis vom Google Play Store nicht toleriert wird, führt eine Erkennung automatisch zur Beendigung des Publisher-Kontos.

Da ein Publisher-Konto eine einmalige Gebühr in Höhe von $25 kostet, investieren Plagiatoren ständig Geld in die Erstellung neuer Konten, die gefälschte Applikationen verteilen, bis diese gemeldet und wieder beendet werden. Allerdings werden diese Konten fast täglich gesperrt, sodass die monatlichen Ausgaben der Plagiatoren steigen. Diese werden aber zweifellos durch das verdiente Geld durch den Betrug gedeckt – da sonst das Geschäft nicht rentabel wäre.

Fallstudie

Nach Profilierung der manipulierten und wiederverpackten Versionen des Spiels Riptide GP2 Vektor identifizierte Bitdefender, dass die Kopien Werbenetzwerke zugreifen lassen, sensible Daten sammeln und senden.

Die ursprüngliche Anwendung kostet ca. 3 Euro. In einer Woche tauchten vier verschiedene Kopien davon im Google Play Store auf. Drei verschwanden sofort, aber eine vierte Kopie ist noch im Store erhältlich.

Im Gegensatz zu den Original-Apps, werden die manipulierten Spiele kostenfrei verbreitet.

t

t

t

t

t

t

t

t

t

t

t

t

t tt ttApplikation t tt 	t ttInstallationen	t ttErträge
t ttManipuliert #1 t tt 	t tt100 – 500	t tt$200 – $1.000
t ttManipuliert #2 t tt 	t tt1.000 – 5.000	t tt$2.000 – $10.000
t ttManipuliert #3 t tt 	t tt1.000 – 5.000	t tt$2.000 – $10.000
t ttManipuliert #4 t tt 	t tt1.000 – 5.000	t tt$2.000 – $10.000
t ttGesamt	t tt3.100 – 15.500	t tt$6.200 – $31.000

Wenn wir nur diese vier Instanzen und deren Download/Installations-Raten betrachten und davon ausgehen, dass all diejenigen, die die Kopien heruntergeladen haben die ursprüngliche App gekauft haben, könnte der Entwickler des Original-Codes am Ende zwischen 3100 und 15 500 Kunden und zwischen $6.200 und $31.000 verlieren.

Die ferngesteuert gesendeten Informationen umfassen die Geräte-ID und die genaue Position des Nutzers. Die manipulierten und wiederverpackten Apps fügen auch automatisch Symbole auf den Bildschirm des Geräts hinzu, platzieren unerbetene Werbung in der Benachrichtigungsleiste und öffnen unerwünschte Webseiten im Browser.

Android-Nutzern wird zur extremen Vorsicht bei der Installation von Apps geraten und sollten immer die Berechtigungen überprüfen. Die Installation einer mobilen Sicherheitslösung, wie die Bitdefender Mobile Security, die bösartige Adware erkennt, hilft Anwendern ihr Daten zusichern. Bitdefender empfiehlt auch Clueful für Android, eine kostenlose App, die ein Gutachten darüber, wie Apps die Privatsphäre des Nutzers nach der Installation behandelt, erstellt.

Dieser Artikel basiert auf den technischen Details, die vom Bitdefender Clueful Team zur Verfügung gestellt worden.

Hinweis: Alle genannten Produkt- und Firmennamen sind nur zur Identifizierung bestimmt und Eigentum oder möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.