Pokémon GO Hype: Erster Fake-Lockscreen entdeckt

ESET hat den ersten gefälschten Lockscreen auf Google Play Store entdeckt. Er nennt sich Pokemon GO Ultimate. Wie seine Eigenschaften vermuten lassen, sperrt es nach der Installation absichtlich den Bildschirm, sodass der User gezwungen wird, sein Gerät neu zu starten. Leider ist ein Reboot in vielen Fällen gar nicht so einfach, weil die schädliche App alle anderen Anwendungen sowie ihre Bildschirminhalte überlagert. Der User kann nur seine Batterie entfernen (bei vielen neuen Smartphones gar nicht mehr möglich) oder mit Hilfe des Android Device Managers neustarten. Nach dem Neustart läuft die App verdeckt im Hintergrund und steuert Porno-Werbeanzeigen an, um dort Klicks zu hinterlassen.

gefälschter Pokemon Go Ultimate Lockscreen

Abbildung 1: gefälschter Pokemon Go Ultimate Lockscreen

Pokemon Go wird gerade als einer der größten Erfolge des Internets gefeiert und viele wollen unbedingt die App – auch wenn sie in ihrem Land noch nicht verfügbar ist. Viele besorgen sich die.apk über Foren und Facebook-Gruppen. Die Beschaffung über inoffizielle Wege birgt aber auch Risiken. Nicht selten sind diese inoffiziellen Apps verseucht. Ein offizielles Release von Pokemon Go gibt es bisher nur in den USA, Australien, Neuseeland und Deutschland.

Viele Kleinkriminelle wissen das und versuchen den Pokemon Go Hype zu ihrem Vorteil auszunutzen. Ein valides Beispiel bietet Pokemon Go Ultimate. Nach der Installation vom Google Play Store aus, gibt es danach keinen Hinweis mehr auf die „Pokemon GO Ultimate“-App. Stattdessen kann man auf seinem Smartphone die Anwendung „PI Network“ mit folgenden Logo finden.

Pokemon Go Ultimate nach der Installation

Abbildung 2: Pokemon Go Ultimate nach der Installation

Wenn der Nutzer die App „PI Network“ startet, friert diese sofort ein und sperrt den Bildschirm. Daraufhin kann der User einen Neustart nur so erwirken, indem er seine Batterie entfernt und wieder einsetzt.

Bildschirmsperre durch Pokemon GO Ultimate

Abbildung 3: Bildschirmsperre durch Pokemon GO Ultimate

Nach dem Neustart versteckt sich die App vor dem Benutzer. Die „PI Network“-App ist jetzt aus dem Anwendungs-Menü verschwunden. Aber die schädliche App läuft nun im Hintergrund, ohne dass der User es bemerkt. Die App besucht Porno-Werbeanzeigen im Netz und erzeugt Klicks. Damit verdienen die Leute hinter Pokemon Go Ultimate Geld.

Wer die App entfernen will, sollte im Anwendungsmanager zur App „PI Network“ navigieren und sie dort löschen.

Das ist die erste erfolgreiche Lockscreen Fake-App der Sorte, die im Google Play Store gelandet ist. Wichtig an dieser Stelle zu erwähnen: Mit dieser App ist es lediglich ein kleiner Schritt zur ersten Android-Ransomware im Google Play Store. In der App müsste nur noch die Nachricht einer Lösegeldforderung implementiert werden.

Andere Fallen

Leider war die Lockscreen-App nicht die einzige bösartige Anwendung, die wir auf dem Radar hatten. ESET-Forscher haben auch gefälschte Apps mit den Namen “Guide & Cheats for Pokemon Go” und “Install Pokemongo” bei Google Play gefunden. ESET Mobile Security erkennt diese als Android/FakeApp.

Scareware Anwendungen

Abbildung 4: Scareware Anwendungen

Keine dieser Apps hält das, was sie verspricht. Sie vermitteln nur Scareware-Werbeanzeigen, die Usern zum Kauf von Services verleiten sollen, die sie nicht benötigen. Nach dem Starten der App werden falsche Versprechungen gemacht. Beispielsweise kann der Benutzer jeden Tag eine beliebige Menge Pokecoins, Pokeballs oder Glückseier generieren.

Bevor die ausgewählten Items hinzugefügt werden können, benötigen beide Apps eine User-Verifizierung. Aber anstelle einer ernsthaften Verifizierung, versuchen die Anwendungen dem Benutzer zu gefälschten hochpreisigen Dienstleistungen zu verleiten. Das ähnelt den betrügerischen Methoden anderer Apps, die damit werben, die Popularität auf sozialen Netzwerken zu erhöhen. Diese zeigen lediglich arglistige Pop-Ups. Eine Meldung beispielsweise versichert, dass das Smartphone stark mit Viren befallen sei und gesäubert werden müsste. Natürlich verspricht die Anzeige, das zu übernehmen. Das führt aber lediglich zu einem Versenden einer teuren SMS, mit der man ungewollte Services bucht.

Diese Maskerade ist nur ein weiteres Beispiel für Scarewaretechniken, die durch Apps möglich sind. Sie können auch andere Anwendungen herunterladen, Umfrage erstellen und Scam-Werbeanzeigen einblenden, in denen User Preise gewonnen hätten, wie das neue iPhone oder das Galaxy S7 Edge oder höhere Geldbeträge. Diese Techniken sind je nach Herkunftsland verschieden und können anhand der Benutzer IP-Adresse individualisiert werden.

Scareware Einblendung in den USA

Abbildung 5: Scareware Einblendung in den USA

Scareware Einblendung in Australien

Abbildung 6: Scareware Einblendung in Australien

Scareware Einblendung in Neuseeland

Abbildung 7: Scareware Einblendung in Neuseeland

Scareware Einblendung in Deutschland

Abbildung 8: Scareware Einblendung in Deutschland

Scareware Einblendung in Spanien

Abbildung 9: Scareware Einblendung in Spanien

Scareware Einblendung in Japan

Abbildung 10: Scareware Einblendung in Japan

Jedes mal wenn der Benutzer die „Zurück“-Taste betätigt, erscheint neue Scareware. Nur durch ein schnelles doppeltes Tippen auf die Taste wird man die nervigen Anzeigen los.

Vorsicht vor neuen schädlichen Apps

Alle drei der genannten Anwendungen sind aus dem Play Store verschwunden, nachdem ESET sie gemeldet hat. Auch wenn diese Apps nur eine kurze Zeit verfügbar waren, so konnten sie doch hunderte Downloads erreichen. Pokemon Go Ultimate wurde 500 – 1.000-mal, Guide & Cheats for Pokemon Go 100 – 500-mal und Install Pokemongo sogar 10.000 – 50.000-mal heruntergeladen.

Sicherheitsexperten haben vor gefälschten Versionen des Pokemon Go Spiels sowie schleierhaften Tutorials und Cheats gewarnt. Dennoch ist Pokemon GO für viele so interessant, dass Sicherheitsrisiken gerne ausgeblendet werden.

Autor Lukas Stefanko, ESET