Apps stehlen, Ads installieren

Vor einiger Zeit habe ich einen Blogeintrag über sogenannte „Offerwalls“ veröffentlicht, die gehackte Nutzerdaten sammeln. Inzwischen aber scheint es so, dass diese Angriffe sich nicht mehr ausschließlich gegen Nutzer richten. Als ich kürzlich auf der Reddit-Website unterwegs war, stieß ich auf den Account eines bekannten App-Entwicklers, der berichtete, ein anderer Entwickler im Android-Market hätte seine App gestohlen, um dann Spam-Code einzubauen und sie unter demselben Namen über seinen eigenen Account hochzuladen. Nach einigen Recherchen fand ich heraus, was hier geschehen war:

Ursprünglich war die App mit der Bezeichnung ElectricSleep von Jon Willis entwickelt worden. Mehr Informationen über die App finden Sie

HIER

Laut Beschreibung ist Electric Sleep in der Lage, „Ihre Schlafqualität mit dieser intelligenten Weckuhr zu verbessern. Die Weckuhr Electric Sleep zeichnet Ihre Schlafphasen auf und weckt Sie ganz sanft während einer Leichtschlafphase. Die aufgezeichneten Daten über die Schlafphasen werden gespeichert und analysiert, wodurch Sie Ihre Schlafangewohnheiten verstehen lernen und folglich verbessern können.“

Bei einem Vergleich der Originalapplikation mit der gestohlenen Version entdeckte ich bei den Berechtigungen einen ersten, offenkundigen Hinweis für eine Manipulation:

Die echte App fragt nicht nach der Location-Berechtigung (Abfragen der aktuellen Position):

Durch genauere Analysen der Aktivitäten der kopierten App stellte ich fest, dass dem ursprünglichen Code eine Pay Per Install (Bezahlung pro Installation)-Library hinzugefügt worden war. Die Bibliothek ist Teil eines SDK einer Firma namens AirPush:

Airpush macht genau das, was sein Name vermuten lässt: Das Unternehmen „jagt“ verschiedene Typen von Werbeanzeigen zu den Endnutzern, und diese Benachrichtigungs-Anzeigen wiederum bedeuten für den App-Entwickler, bzw. in diesem Fall den App-Kopierer, bare Münze. Aber wie viel Geld lässt sich damit verdienen? Laut Informationen auf der Airpush-Website:

„Airpush-Entwickler erzielen in der Regel CPMs zwischen $6 und $40“. CPM steht für „Cost Per M”, oder „Tausend-Kontakt-Preis“. Dies bedeutet, dass Airpush den Entwickler jedes Mal, wenn 1.000 Kontakte erreicht wurden, bezahlt. Wie hoch diese Bezahlung ist, unterliegt permanenten Schwankungen.

Passiert war im Wesentlichen folgendes: Ein Entwickler von Fake-Software hatte Jon Willis’ App heruntergeladen, einen Pay Per Install-Code eingeschleust und die modifizierte App danach über einen anderen Entwickler-Account als seine eigene hochgeladen. Zwar ist die gefälschte App seitdem entfernt worden, aber der Entwickler-Account des Betrügers ist immer noch aktiv.

Die Nutzer sind die aufdringlichen Werbeanzeigen ohne Vorankündigung ohne Zweifel leid. Daher hat ein weiterer Entwickler einen „AirPush Detector“ herausgebracht, der in Applikationen installierte Advertising Frameworks identifizieren kann. Auch wenn diese Pay Per Install-Dienste nicht gerade illegal sind, so können sie doch äußerst lästig sein – und der Diebstahl von Apps, nur um Werbecode einzufügen, steht definitiv im Widerspruch zu der Android-Entwickler-Lizenzvereinbarung.

Mehr Informationen über die AirPush Detector finden Sie

HIER

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.