Vorsicht vor Fake-Applications – Betrüger auf Google Play erkennen

Viele bösartige Entwickler versuchen User auszutricksen, indem sie wertvolle Apps versprechen. Die Applikationen werden mit interessanten Namen und einer falschen Beschreibung versehen. Das dient jedoch nur der Verschleierung der wahren Absichten der Anwendungen.

ESET hat acht solcher sogenannten Fake-Applications im Google Play Store ausfindig gemacht, die (fälschlicherweise) versprechen, die eigene Followeranzahl auf seinen Social Media Profilen zu boosten. ESETs Mobile Security erkennt diese Apps als Android/Fasurke.

Über mehr als vier Monate konnten diese Apps mehr als 250.000 – 1.000.000 Downloads vom Google Play Store generieren. Nach der Alarmierung durch ESET entfernte das Android-Sicherheitsteam jede der Fake-App aus dem Store.

Auch wenn diese Anwendungen nun keinen Schaden mehr anrichten können, wollen wir trotzdem einmal genauer hinschauen und zeigen, wie sie funktionierten. Früher oder später tauchen ähnliche Apps auf, die gleiche Vorgehensweisen an den Tag legen.

Acht Fake-Applications

Abbildung 1: Diese Anwendungen konnten durch ESET entfernt werden

Wie funktionieren die Apps?

Die acht Fake-Applications versprechen mehr Follower, Freunde und Profilaufrufe in sozialen Netzwerken. Was sie jedoch wirklich bewirken, ist etwas ganz Anderes. In Wirklichkeit sollen Nutzer in Abonnement-Fallen gelockt werden. Dazu kommt die ungefragte Weitergabe persönlicher Daten, die automatische Zustimmung zu Marketing-Nachrichten und das Einblenden von Werbeanzeigen.

Nach dem Start der App werden die User dazu aufgefordert ihr Smartphone-Modell und die gewünschte Anzahl an Followern anzugeben. Manch einer mag sich freuen, dass es so leicht ist, 500.000 neue Follower zu generieren. Aber Vorsicht! Nach dem Drücken des „Start Generating“-Buttons, soll der User sich noch via „human verification“ authentifizieren.

Fälschung: Follower generieren

Beispiel einer Fake-Application

Abbildung 2: Anwendungsbeispiel

Die „Verifikation“ dient jedoch nur der Verschleierung. Das Ganze mündet in endlosen Werbeanzeigen und der Aufforderung persönliche Informationen wie Name, E-Mail, Adresse, Telefonnummer, Geburtsdatum und Geschlecht preiszugeben. Nutzer sollen auch eine Einverständniserklärung über Telefonakquisen und Textnachrichten abgeben. Unter anderem konnte man dabei einen Premium-SMS-Dienst abschließen, der fast 4,80 EURO in der Woche kosten sollte.

gefälschte Human Verification

Abbildung 3: Eines der Angebote, die den Benutzer in eine Abonnement-Falle lockt.

Fake-Anwendung

Abbildung 4: Beispiel für ein Angebot, durch das Nutzer mit verschiedenen Marketingaktionen konfrontiert werden.

Zweifelsohne ist die angebliche „Verifikation“ nur eine Endlosspirale. Das einzige Ziel der Umfragen, Angebote, Prämien, Preise, Gutscheine und den andere billigen Marketing-Tricks ist, dem „Follower-hungrigen“-User so viele Informationen über sich zu entlocken wie nur irgendwie möglich.

Schlechte Bewertungen von Fake-Applications

Abbildung 5: Beispiele für Bewertungen der gefälschten Apps.

Alle Fake-Applications hatten viele schlechte Bewertungen und negative Kommentare zu verzeichnen. Dennoch erreichten Sie hunderttausende Downloads.

Fazit

ESET hat falsche Anwendungen entlarvt, die nicht im Geringsten das halten konnten, was sie versprachen. Anstelle Followerzahlen zu boosten, wurden User in eine Endlosschleife von Werbeangeboten gelockt. Das wahre Ziel der Apps lag also im Ergaunern von persönlichen Daten und darin, den User dazu zu bewegen, nicht-benötigte Premium-Abonnements abzuschließen. ESET konnte dazu beitragen, dass solche Fake-Applications aus dem Google Play Store verschwinden. User sollten sich an Sicherheitstipps halten und keinen dubiosen Dritten persönliche Informationen aushändigen.

ESETs Sicherheitstipps zu gefälschten Anwendungen:

  • Wenn möglich sollten Apps nur über vertrauenswürdige Quellen installiert werden. Dazu gehört im Allgemeinen auch der Google Play Store.
  • Bevor man eine App installiert, kann man kurz die Anzahl der Downloads und die abgegebenen (negativen) Bewertungen und Kommentare checken. Hieraus ergeben sich Anhaltspunkte, wie ernstgemeint eine App ist.
  • Anwendungen, die etwas versprechen, dass zu gut klingt, um wahr zu sein, sind mit Sicherheit Fake-Applications. Dazu gehört auch das obere Beispiel, bei dem mit einem Klick 500.000 neue Follower generiert werden sollten.
  • Es ist sinnvoll zwei mal darüber nachzudenken, wofür man eigentlich seine persönlichen Daten preisgibt.
  • Mit ein wenig Anstrengung kann man die Verantwortlichen herausfinden und deren Vertrauenswürdigkeit überprüfen.
  • Last but not least – Eine Mobile Security Lösung für das Smartphone bietet immer einen guten Schutz gegen vielerlei Malware.

Autor Lukas Stefanko, ESET