Game Over: Wie ein farbenfrohes Spiel zur Abo-Falle wurde

27.01.2016
G DATA Blog

Premium-SMS gelten als die ersten Angriffe auf Android-Nutzer – vor fast sechs Jahren waren Schädlinge mit dieser Funktion die Top-Gefahr. Seitdem hat sich die Schadcode-Landschaft für Mobilgeräte natürlich deutlich weiterentwickelt. Gerade deshalb ist es bemerkenswert, dass sich nun eine neue Art der Abo-Falle im aktuellen Google Play Store mehrere Wochen halten konnte und Android-Nutzern direkt monetär schadete. Ein kurioser Fall!

Die Untersuchung des Falls ergab umfangreiche Informationen, die hier dargestellt werden. Für einen Fakten-Überblick haben wir nachfolgend eine kurze Zusammenfassung erstellt. Alle Infos und Details finden sich dann unter „Der Fall im Detail“.

Kurze Zusammenfassung

  • Interessanter Verbreitungsweg: Benutzer werden aus einer legitimen App dazu verleitet, eine schadhafte App namens Blend Color Puzzle zu installieren.
  • Neuer Weg in die Abo-Falle: Die schadhafte App ist seit Anfang November 2015 im Google Play Store vertreten und schließt nach dem Start, ohne weiteres Zutun des Benutzers, zwei Abonnements bei niederländischen Firmen ab. Dazu trennt die App die WLAN-Verbindung des Mobilgeräts und nutzt nach aktuellem Stand WAP-Billing, eine Bezahlmethode per Mobilfunk.
  • Frühere WAP-Billing-Fälle aus Apps heraus resultierten aus z.B. einem Klick des Benutzers auf einen Werbebanner. In diesem aktuellen Fall ist jedoch keine Benutzer-Interaktion registriert worden.
  • Die Abrechnung der Abos erfolgt über eine Vermittlerfirma, was Betroffenen die Nachverfolgung und Schadensbehebung zusätzlich erschwert. Wir vermuten ein noch größeres internationales Firmengeflecht hinter dieser Aktion.
  • Negative Bewertungen und inkonsistente sowie scheinbar arrangierte Kommentare zur App unterstreichen den fragwürdigen Charakter des Spiels. Es sind zudem keine weiteren Apps des angegebenen Entwicklers oder der Firma zu finden.
  • Die G DATA Experten haben den Fall selbstverständlich an Google gemeldet und die App wurde danach innerhalb kurzer Zeit aus dem Store entfernt.

 

Der Fall im Detail

Also, fürs Verständnis: Ich erzähle die Geschichte einer Freundin. Sie benutzt auf ihrem Smartphone eine Dating-App. Bestimmte Premium-Funktionen innerhalb der App kann sie sich einerseits erkaufen oder aber sie kann „Aufgaben erfüllen“, um sich diese Funktionen zu verdienen. Keine Angst, es sind keine unmoralischen Dinge, die sie da erfüllen muss! Nein, sie muss vielmehr aus einer Liste von angebotenen Apps eine oder mehrere auswählen, diese herunterladen, installieren und evtl. auch noch eine zusätzliche Aktion durchführen – z.B. die App einmal starten oder etwas ähnliches. Auch für das Einladen von Freunden und das Ausfüllen von Umfragen wird „vergütet“. Das sind prinzipiell keine großen Hürden und deshalb werden die Angebote von Benutzern auch häufig in Anspruch genommen.

Eine Beispielaufgabe, die nach Abschluss eine recht hohe Anzahl an Premium-Zeit gewährt Die Anbieter der Dating-App verdienen mit dieser Methode selbstverständlich Geld. Jede Aktion, die von den flirtwilligen Usern ausgeführt wird, bringt ihnen Profite ein.  „Was soll schon passieren?“ dachte sich meine Freundin ein ums andere Mal und tauschte „Arbeit“ gegen Premium-Zeit ein. Vor einigen Tagen entpuppte sich jedoch eine der geladenen Apps als bösartig.

Die fragwürdige App

Die Aufgabe und Vergütung im Rückblick
SMS, die das Abo ankündigen

Das angebotene Spiel heißt Blend Color Puzzle. In ihm soll man Farbnuancen erkennen und antippen. Das schien auf den ersten Blick ganz unterhaltsam zu sein, also entschied sich meine Freundin dazu, diese App „abzuarbeiten“. Die Dating-App versprach für die Aufgabe „Installation und Start“ eine Stunde freie Premium-Funktionen als Belohnung, was gegenüber dem oben gezeigten Beispiel eine eher geringe Vergütung ist, aber auch wahrlich nicht viel Aufwand erfordert.

Blend Color Puzzle war seit dem 03.11.2015 im offiziellen Google Play Store zu finden und verzeichnete schon mehr als 50.000 Downloads. Das ist erstaunlich für das möglicherweise Erstlingswerk eines Programmierers (fartye.polisertg@gmail.com), bzw. einer Firma (GHR Corp) – beide Angaben finden sich auf der Infoseite der App. Andere Apps sind von ihnen bisher nicht zu finden. Die optische Ähnlichkeit zum sehr populären Spiel Blendoku könnte mit ein Grund dafür sein, dass so viele User das kostenlose Game ausprobieren wollen. Selbst die vom Publisher im Play Store gezeigten App-Bilder zeigen den Namen Blendoku am linken Rand der Spielfläche. Meine Freundin wäre jedoch trotzdem nie darauf gekommen das Spiel zu laden, wenn es nicht über die Dating-App angeboten worden wäre.

Kurz nach dem Start des Spiels bekam meine Freundin dann zwei SMS, die ihr mitteilten, sie habe zwei Abos abgeschlossen, was sie selbstverständlich nicht wissentlich getan hat. Außerdem hatte sie keine Verbindung mehr zu ihrem WLAN, das sie normalerweise immer nutzt, wenn sie zu Hause ist. Die App muss also einen Kauf ausgelöst haben, der vom Nutzer unbemerkt bleibt. Das ist eine neue Form des Angriffs und der Sache wollten wir näher auf den Grund gehen.

Die Berechtigungen

Suche nach Color Puzzle; die App taucht weit vorne auf

Die Liste der Berechtigungen, die die App fordert ist für ein simples Spiel außergewöhnlich umfangreich. An dieser Stelle finden wir dann auch die Funktion zum Trennen der WLAN-Verbindung. Allerdings hat es nur die Berechtigung zum Empfangen von SMS, nicht zum Senden.  Zum aktuellen Zeitpunkt gehen die Analysten davon aus, dass die App die Abonnements per WAP-Billing abschließt.

  • Geräte- & App-Verlauf
    • Aktive Apps abrufen
  • SMS
    • SMS empfangen
  • Fotos/Medien/Dateien
    • USB-Speicherinhalte ändern oder löschen
    • USB-Speicherinhalte lesen
  • WLAN-Verbindungsinformationen
    • WLAN-Verbindungen abrufen
  • Geräte-ID & Anrufinformationen
    • Telefonstatus und Identität abrufen
  • Sonstige
    • Ruhezustand deaktivieren
    • Zugriff auf alle Netzwerke
    • Netzwerkverbindungen abrufen
    • WLAN-Verbindungen herstellen und trennen
    • Netzwerkkonnektivität ändern
    • Beim Start ausführen
    • Bildschirmsperre deaktivieren
    • Über anderen Apps einblenden

Der App-Code

Ein Blick in den Code der App hat der Entwickler den Analysten jedoch deutlich erschwert, denn er hat das Programm in mehreren Ebenen verschleiert (obfuskiert). Nach aktuellem Kenntnisstand, und partieller Entschlüsselung, scheinen folgende Daten einer Variablen gespeichert und dann vermeintlich auf einen Server geladen zu werden:

  • SIM Provider Info
  • Netzprovider Info
  • WLAN Status
  • Ladezustand der Batterie
  • Spracheinstellung des Geräts
  • Gerätehersteller
  • Gerätemodell
  • Bildschirmauflösung
  • Android ID
  • IMSI
  • IMEI
  • Telefonnummer

Diese Art des Angriffs stellt auch für uns ein neues Phänomen dar. Wir beobachten hier eine Masche, die mit sehr viel Aufwand inszeniert wurde, um einer breiten Masse von Nutzern zu schaden. Die App wird aus legitimen Anwendungen vermittelt, sie sammelt persönliche Daten, greift in die mobilen Überragungswege ein und wird mit fragwürdigen positiven Bewertungen beworben. Abgesehen davon ist der Abschluss des Abos ohne Nutzer-Interaktion rechtlich natürlich ebenfalls äußerst fragwürdig. Betroffene Nutzer sollten sich unbedingt Hilfe holen und dagegen vorgehen.

Ralf Benzmüller, Leiter der G DATA Forschungsabteilung.

Der erste negative Kommentar zur App
Auswahl von „Kommentar-Zwillingen“

Ähnlich sieht das auch Markus Wortmann, Kriminologe und Polizeiwissenschaftler (M.A.). Der Gründer des gemeinnützigen Vereins Sicheres Netz hilft e.V. berichtet: „Bei uns melden sich viele Betroffene, die nach einem unangenehmen Vorfall im Netz Hilfe suchen. Abos, die abgeschlossen werden, weil der Benutzer angezeigte AGB oder Nutzungsvereinbarungen vorschnell akzeptiert, ohne sie wirklich gelesen zu haben, sind keine Seltenheit mehr. Aber eine solch technische Umsetzung der Abo-Falle, ohne weitere Benutzeraktion, ist auch für uns neu.“

Ein Blick auf die Bewertungen

Es ist auffällig, dass von den über 1.000 abgegebenen Bewertungen fast 25% negativ waren (weniger als 3 Sterne vergeben). Der erste negative Kommentar wurde am 6. November 2015 registriert, nur drei Tage nach dem Start der App im Store. Dieser Aussage folgten noch viele weitere negative.

Auch die positiven Kommentare sollten einmal genauer in Augenschein genommen werden. Bei genauem Hinschauen wird deutlich, dass bei vielen etwas nicht stimmen kann. So verweisen einige User auf eine ganz andere Entwicklerfirma oder aber sie erwähnen die Zahl durchgespielter Level. Das Spiel hat aber keine Level, die man spielen kann – man spielt gegen die Zeit und beginnt immer wieder bei Null. Auch ein Hinweis darauf, dass eine Nutzerin ein Minispiel aus dem Level „mit den Blauen Punkten wann sie sich berühren“ haben möchte ist nutzlos: Es gibt in diesem Spiel keine blauen Punkte, ebenso wenig wie Knobeleien und anspruchsvolle Denkaufgaben, die an anderen Stellen erwähnt werden. 

Abgesehen davon, dass viele Namen der positiv kommentierenden Personen exotisch und teilweise arg künstlich klingen, gibt es sogar Menschen mit den exakt gleichen Fotos unter ihnen. Torrance Robinet und Cesna Derrick sind übrigens laut ihren Google+ Profilen männlich. Die Fotos lassen das nicht vermuten.

Die Fotos der beiden Beispiele sind selbstverständlich von anderen Personen: Der Mann ist Jackson Rathbone, US-amerikanischer Schauspieler, und die Dame ist vermeintlich eine Professorin für Geschichte an der Universität von Rio de Janeiro, Brasilien.

Ihre Bilder werden hier missbraucht. Selbstverständlich ist es nicht ungewöhnlich, dass User ein Bild ihres Idols als Profilbild anlegen, aber in diesem Fall ordnen wir die Gesamtheit der Ungereimtheiten einer organisierten Masche zu.

Einige der Bewertungen, die inhaltlich nicht zum Spiel passen, verbinden auch andere Apps mit der Abo-Falle. Es werden neben der von uns thematisierten Dating-App mindestens zwei weitere Programme genannt, aus denen die User auf das fragwürdige Spiel geleitet wurden. Somit ist es spätestens dann nicht mehr weiter verwunderlich, dass die Zahl der Downloads für die App so schnell ansteigen konnte.

Die Firmen im Hintergrund der Abos

Die empfangenen SMS zeigen, dass drei Firmen involviert sind: Die net mobile AG aus Deutschland, Telefuture Nederland B.V und auch Globway B.V., beide aus den Niederlanden. 

Die beiden Produkte, die man meiner Freundin wahrlich angedreht hat, werden „ABO MOBIMANIACS DOWNLOADS“ und „ABO DE.APPTIPS.ME“ genannt. Jedes von ihnen kostet 4,99€/7 Tage. Den Verflechtungen hinter diesen beiden Produktnamen sowie den dazugehörigen Webseiten und Firmen gehen wir an dieser Stelle nicht weiter nach. 

Die net mobile AG kümmert sich um die Zahlungsabwicklung zwischen den Mobilfunkanbietern und den beiden niederländischen Firmen, ist also nur ein Vermittler. Über sie konnte meine Freundin die abgeschlossenen Abos telefonisch umgehend kündigen. Die Rückforderung des Geldes müsse sie allerdings mit den niederländischen Unternehmen, den Dienstanbietern, ausmachen, so die Auskunft des net mobile AG Kundenservice aus Düsseldorf.

Globway B.V. ist Teil der Telefuture Group und so ist es nicht verwunderlich, dass beide Firmensitze in nur wenigen Metern Abstand zueinander liegen, wenige Kilometer nördlich des Stadtzentrums von Rotterdam. Und beide Firmen sind in Benutzerforen und auch bei Beschwerdestellen keine Unbekannten. Es gibt unzählige Meldungen über ungewollt abgeschlossene Abos in Verbindung mit den Namen.

Die Firma Globway B.V. gibt auf ihrer Internetseite sogar bereitwillig Auskünfte über die „Payouts“, also die auszahlbaren Beträge, in den verschiedenen Ländern und bei verschiedenen Zahlungsmethoden. Ein Beispiel für Deutschland und den Mobile Billing Service: Wird einem Benutzer ein Service für 4,99€ über T-Mobile verkauft, dann bleiben nach Steuern und Gebühren noch 2,68€ als Gewinn übrig. Im Vodafone-Netz sind es laut dem Rechenbeispiel sogar 2,86€ Gewinn. Sicher werden von Auftraggebern noch andere Kosten beglichen werden müssen, aber diese Beispiele sind ein guter Anhaltspunkt für die möglichen Profite dieser Geschäfte.

Fazit

Wir können festhalten, dass Abo-Fallen eine Gefahr für Mobilfunknutzer darstellen. Im dargestellten hat die Falle sogar auf besonders perfide Art und Weise zugeschnappt. Die Abonnements wurden ohne die erkennbare Zustimmung oder Aktion der Benutzer geschlossen, rein technisch gesteuert, und das ist in der Form eine Neuerung.

Es bewahrheitet sich einmal mehr, dass kostenlos nicht immer die günstigste Wahl ist: Meine Freundin hätte die Premium-Services innerhalb der Flirt-App im Nachhinein lieber direkt als In-App Kauf abgeschlossen: Für 9,99€ hätte sie 250 virtuelle Wertmünzen erhalten, was laut Angaben im Internet mindestens einen Monat (!) Premium-Nutzung bedeutet hätte. Das hätte ihr einerseits deutlich mehr Nutzungszeit gebracht als die eine Stunde für die ausgeführte Aktion und günstiger wäre es sie auch gekommen. Ganz abgesehen von der Zeit, die sie nun investieren musste, um Einsprüche einzulegen und die Abos zu kündigen.

So können Sie sich schützen

  • Kontaktieren Sie ihren Mobilfunkanbieter und lassen Sie von ihm die Drittanbieter-Dienste für ihren Anschluss sperren. So können keine unbewussten Zahlungen an Dritte ausgelöst werden. Das bedeutet aber auch, dass sinnvolle Dienste nicht mehr benutzt werden können, wie etwa das Buchen von Parktickets oder ähnliche Funktionen.
  • Setzen Sie auf Ihrem Smartphone eine umfassende Sicherheitslösung ein. Die G DATA Internet Security für Android bietet wirksamen Schutz für ihr Smart Device. 
  • Schauen Sie sich die Bewertungen und Kommentare zu den Apps an, vor allem auch die negativen Beschreibungen.

 

Wenn es doch passiert ist

  • Kontaktieren Sie Ihren Mobilfunkanbieter und legen Sie Einspruch gegen die Abrechnung ein. Der Musterbrief der Verbraucherzentrale kann hier hilfreich sein. 
  • Lassen Sie sich von Ihrem Mobilfunkanbieter alle Informationen zu den Vermittlern und Drittanbietern geben, die verfügbar sind.
  • Kontaktieren Sie einen Fachanwalt und lassen Sie sich beraten, ob in Ihrem Fall rechtliche Gegenmaßnahmen sinnvoll sind.
  • Auch die Bundesnetzagentur ist eine gute Anlaufstelle für Informationen rund um unklare Rechnungsposten und auch die geeignete Beweissicherung im Fall der Fälle. 

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein