Achtung bei Pokémon Go – Werbe App schlägt Kapital

Originalbeitrag von: Shawn Xing und Ecular Xu (Mobile Threat Response Engineers)

Das mobile, ortungsbasierende Augmented-Reality-Spiel Pokémon Go erobert die Welt im Sturm. Unter lautem Trommeln am 6. Juli im Markt eingeführt, hat die App bereits mehr Nutzer auf Android-Geräten gefunden als die entsprechende Facebook-App. Apple hat sogar vermeldet, dass es keine andere App gibt, die in der ersten Woche nach ihrem Erscheinen häufiger heruntergeladen wurde. So verwundert es wenig, dass Betrüger und Cyberkriminelle diese hohe Popularität schnell zu Geld machen wollen. So haben sie bösartige Versionen des Spiels und diesbezügliche Hilfe-Apps kreiert, die Bildschirme sperren und Scareware sowie Adware, ja sogar einen Remote-Access-Trojaner auf die Geräte laden.

Trend Micro hat eine Hilfe-App auf Google Play entdeckt, die sich für ihre Fähigkeit rühmt, Spieler dabei zu helfen, Pokécoins zu verdienen, die In-Game-Währung (die sich entweder im Spiel verdienen oder durch Zahlung mit echter Währung kaufen lässt). Dabei handelt es sich in Wahrheit jedoch um einen Betrug.

20160728pokemongo01
Abbildung 1: Benutzeroberfläche der App auf Google Play (links); nach Installation und Start öffnen sich zwei Fenster – eines mit der Bezeichnung „Hack Root“ (Mitte), das andere mit der Bezeichnung „Download Pokémon Go“

Die Betrüger profitieren bei ihren Machenschaften von der Tatsache, dass Pokémon Go in manchen Regionen nicht erhältlich ist. Anwender, in deren Ländern das Spiel nicht zu haben ist, werden aufgefordert, ein Android Application Package (APK) herunterzuladen, und zwar von der URL hxxp://catafiles[.]com/547457.

20160728pokemongo02
Abbildung 2: Die Betrüger leiten Anwender auf eine Site, die angeblich ein AKP für Pokémon Go enthält; doch vorher müssen die Anwender eine Werbe-App herunterladen

Zum Installieren und Starten der App werden die Anwender aufgefordert, ihren Pokémon Go-Benutzernamen, den verwendeten Gerätetyp und das Herkunftsland anzugeben. Klicken sie auf „Connect“, öffnet sich ein weiteres Fenster. Dort können die Anwender angeblich zwischen verschiedenen Features für ihr Spiel auswählen. Dazu zählen etwa die Zahl der Pokécoins und Pokéballs, eine AES-256-Verschlüsselung und das Einrichten eines Proxyservers zum Umgehen der Länderrestriktionen des Spiels.

20160728pokemongo03_02
Abbildung 3: Die App behauptet, Daten in den Pokémon Go-Server einspeisen zu können (links); ein Klick auf die Schaltfläche „Generate“ startet die Anzeige der Prozesse, die scheinbar ausgeführt werden

Daraufhin verlangt die App eine Verifizierung, dass es sich beim Anwender tatsächlich um einen Menschen handelt. Dies ist angeblich nötig, bevor die App In-App-Items von Pokémon Go hinzufügen kann. In Wahrheit jedoch leitet die App die Anwender auf eine andere Site. Dort werden sie aufgefordert, noch eine App herunterzuladen (vgl. unten).

20160728pokemongo04
Abbildung 4: Die App leitet auf eine andere Site um; dort muss der Anwender eine weitere Werbe-App herunterladen

Unsere Analyse hat ergeben, dass die App zu einer Malware-Klasse gehört, die Anwender dazu bringt, andere Apps herunterzuladen und zu installieren, um deren Verbreitung zu fördern.

20160728pokemongo07
Abbildung 5: Die gefälschte App greift auf die Site hxxp://pokemon-go[.]webie[.]biz/en[.]html zu, um alle ihre Aufforderungen anzuzeigen (links); die vermeintlichen „Online Users“, die auf der App-Homepage angezeigt werden, sind zufallsgeneriert (rechts)

20160728pokemongo05
Abbildung 6: Der Code-Ausschnitt zeigt, dass der Output der „Generate“-Schaltfläche vordefiniert ist und überhaupt nichts ausgeführt wird

Trend Micro hat darüber hinaus eine ähnlich codierte App desselben Entwicklers gefunden, die es auf die Spieler von „Summoners War“ abgesehen hat. Diese App wurde mehr als 5.000 Mal heruntergeladen, bevor sie aus Google Play entfernt wurde.

Pokémon Go zu Geld machen

Ferner hat Trend Micro 149 Apps mit Bezug zu Pokémon Go analysiert, die auf Google Play vom 8. bis zum 21. Juli abrufbar waren. Diese wurden insgesamt mehr als 3,9 Millionen Mal heruntergeladen. Trend Micro hat sie in vier Kategorien eingeteilt:

  • Anleitungen
  • Gefälschte GPS/Ortungs-Apps (zur Nutzung während des Spiels)
  • Apps im Zusammenhang mit sozialen Netzen (als Plattform für die Kommunikation der Spieler untereinander)
  • Sonstige wie zum Beispiel Wallpaper-Apps und Downloader

20160728pokemongo06
Abbildung 7: Kategorien der analysierten Apps mit Pokémon Go-Bezug

Vom 8. bis zum 20. Juli hat die Zahl der neu veröffentlichten oder aktualisierten Apps mit Pokémon Go-Bezug auf Google Play beständig zugenommen. 57 dieser Apps wurden am 21. Juli aus Google Play entfernt. Weitere Untersuchungen ergaben, dass nur 11 Prozent der 149 Apps legitime, nicht bösartige Apps waren. Die gefälschten Apps haben keinerlei Funktion und nutzen Pokémon Go rein als Köder für das Herunterladen anderer Apps, um deren Verbreitung zu fördern.

Die besprochene Werbe-App wurde bereits aus Google Play entfernt; Trend Micro hat Google über die Analyseergebnisse informiert.

20160728pokemongo08
Abbildung 8: Die Untersuchung der Samples ergaben, dass 87 Prozent der Apps mit Bezug zu Pokémon Go Adware und nur 11 Prozent legitim, nicht bösartig waren

Anwender sollten das Betriebssystem ihres Geräts stets aktuell halten. Darüber hinaus aber sollten immer sehr vorsichtig sein, wenn sie Apps von unbekannten Entwicklern und App Stores von Drittanbietern installieren. Sie sollten ferner misstrauisch sein, wenn ihnen Apps unrealistische Angebote unterbreiten – wie im vorliegenden Fall Premium-Inhalte des Spiels
(z. B. Pokécoins). Ein Blick auf die App-Bewertungen kann ebenfalls hilfreich sein, um Betrugsversuche von legitimen Apps zu unterscheiden. Zu diesen betrügerischen Apps zählen unter anderem solche mit völlig unverhältnismäßigen Anwenderbewertungen.

Darüber hinaus können Anwender von mobilen Sicherheitslösungen wie Trend Micro Mobile Security Personal Edition und Mobile Security profitieren. Diese bieten eine zusätzliche Schutzschicht, indem sie Installationsversuche bösartiger oder möglicherweise unerwünschter und gefälschter Apps entdecken und blockieren.

Die SHA1-Hashwerte und Paketnamen in Verbindung mit unserer Analyse sind in diesem Anhang abrufbar.

Mit Beiträgen von Federico Maggi und Kenny Ye.