bluebit

Werbebetrug

Google Play Store: Android-Malware gibt Smartphones als iPhones aus

von Robert Klatt •

Da Klicks von iPhones höher vergütet werden, haben die Betreiber der Apps den UserAgent manipuliert, um so mit Android-Geräten mehr Einnahmen zu erzielen.


0 Kommentare

Bisher unbekannte Personen haben es geschafft, trotz der stetig verbesserten Kontrollen im Google Play Store, eine Reihe von Apps für Android-Smartphones zu veröffentlichen, die eine bisher noch nicht beobachtete Betrugsmasche nutzen. Die 22 inzwischen von Google entfernten Apps haben im Hintergrund Werbung geladen und ohne das Wissen der Nutzer Klicks erzeugt, die den Betreibern der Apps hohe Einnahmen ermöglicht haben. Neu an dieser seit langem betriebenen Form des Werbebetrugs ist, dass die Android-Smartphones sich dabei gegenüber den Werbenetzwerken als iPhones ausgegeben haben, um so höhere Klickpreise zu erzielen.

Entdeckt wurde dieser Betrug durch das Sicherheitsunternehmen Sophos, die darüber in ihrem Blog berichten. Laut einer Analyse des Unternehmens waren die Apps mit der Malware seit Juni 2018 im Play Store verfügbar. Die meisten Downloads erzielte dabei die Taschenlampe 'Sparkle', die rund eine Million Mal heruntergeladen wurde. Insgesamt erreichten die Apps rund zwei Millionen Downloads.

Schadcode nachträglich implementiert

Ein Teil der betroffenen Apps war bereits seit 2016 beziehungsweise 2017 im Play Store hochgeladen. Die Malware wurde bei diesen alten Apps erst durch ein Update im Juni 2018 nachgeliefert. Sophos nimmt an, dass die normalen Monetisierungsmöglichkeiten den Entwicklern möglicherweise nicht ausgereicht haben und dass sie daher zu dieser illegalen Methode gegriffen haben, um ihre Einnahmen deutlich zu steigern. Eine andere Möglichkeit ist aber auch, dass die Betrüger die Apps von ihren ursprünglichen Entwicklern gekauft haben, um die Malware zu implementieren.

Neben der Tarnung als vermeintliche iPhones zeichneten sich die Apps auch durch ihre hohe Aggressivität aus. Dies zeigte sich vor allem dadurch, dass die Apps automatisch alle drei Minuten neugestartet wurden, wenn ein Nutzer sie geschlossen hat, um weitere Klicks zu erzeugen. Daraus resultierte bei vielen Opfern ein deutlich schnellerer Akkuverbrauch.

UserAgent übermittelt iPhone

Der technische Hintergrund ist überraschend simpel. Die Apps haben zum Werbetrug versteckte Browserfenster geladen, die mit ihrem UserAgent vorgegeben haben auf einem Apple iPhone zu laufen. Anschließend wurden in diesen Fenstern Werbeanzeigen auf eigenes dafür erstellten Webseiten geklickt.

Außerdem hatten die Apps noch die Möglichkeit weiteren Schadcode nachzuladen, dies soll laut Sophos jedoch nicht genutzt worden seien.

0 Kommentare

Kommentar verfassen