Da lohnt sich ein zweiter Blick: Gefälschte Flash Player Apps im Google Play Store

24.01.2014
G DATA Blog

Im offiziellen Google Play Store tummelten sich am Wochenende einmal mehr betrügerische Apps, die sich als Adobe Flash Player ausgaben. Von den drei untersuchten Apps forderten alle Apps Zahlungen des Nutzers vor der Installation und eine spähte den Benutzer sogar unbemerkt aus. Google reagierte schnell und löschte die Programme, die von den G Data Mobil-Sicherheitslösungen als Android.Application.FakeApp.A detetktiert werden.

Eine wichtige Information vorab: Es gibt keine echte Flash Player App mehr

Die Original-App Adobe Flash Player gibt es nicht im Google Play Store zum Download! Adobe, im Play Store vertreten als Adobe Systems, bietet die App dort nicht an, denn die Flash Player Funktionalitäten sind inzwischen in die Android App Adobe AIR integriert worden und Benutzer brauchen keine dedizierte Flash Player App mehr. Dies geht aus der online einsehbaren Roadmap für Flash hervor:
“Flash Player 11.1 ist die letzte Veröffentlichung des Flash Player Plug-Ins für Mobile Browser. […] Adobe wird weiterhin aktiv dafür sorgen, dass Entwickler Flash-basierte Inhalte als Mobile (und Desktop) Anwendungen erstellen und verwenden, mit Hilfe von Adobe AIR.“
Geräte mit dem Betriebssystem Android 4.1 und neuer können keine zertifizierte Version des Flash Players mehr einsetzen und sollten stattdessen das Original von Adobe AIR für Android installieren, das die Flash-Funktionalität beinhaltet. Geräte mit Betriebssystemen vor Android 4.1 sollten zertifiziert sein, um Kompatibilitätsprobleme zu vermeiden, und könnten dann den Flash Player 11.1 aus den Adobe Archiven laden.

Die Betrüger nutzen die Unwissenheit aus

Adobe Flash ist ein sehr bekannter Player, vor allem auf Desktop-Systemen – Daher steht es für die meisten Benutzer außer Frage, dass sie diesen Player auch für ihr Mobilgerät benötigen. Doch die oben gegebene Information, über die Eingliederung der Funktionalität in Adobe AIR ist den meisten weitgehend unbekannt. Diesen Umstand nutzen die Betrüger aus und entwerfen gefälschte Apps.

Achten Benutzer lediglich auf die Logos der Apps, dann laufen sie Gefahr, sich gefälschte Software zu installieren, so wie in diesem aktuellen Fall. Ein Blick auf den Entwickler kann einen Betrug unter Umständen schnell entlarven, denn „Adobe Flash Player“ mit Sternchen als Dekoration sollte den Nutzer aufhorchen lassen. Mit einem Entwicklernamen wie „Adobe LLC“ funktioniert die Tarnung jedoch  besser.
Aufmerksame Benutzer können in den Beschreibungstexten der drei Apps sogar auch einen direkten Hinweis auf die Abzocke finden: „[TRADEMARK] We aren't affiliated with Adobe Corporation“, heißt es bei allen Texten unisono, ein Indiz dafür, dass hinter allen drei Apps die gleichen Betrüger stehen.

Was machen diese Apps?

Die Apps des Entwicklers „Adobe Flash Player“ haben keine Schadcode-Funktionen im eigentlichen Sinn. Sie öffnet lediglich eine Webseite mit deren Informationen sie den Nutzer dazu überreden will, fünf Euro via PayPal zu überweisen, um dann die eigentliche Adobe App zu bekommen. Ob die Original-App (Flash Player 11.1.115.81 aus dem Archiv, die auf neueren Geräten gar nicht zu installieren ist (siehe oben)) nach dem Bezahlvorgang wirklich zur Verfügung gestellt wird, bleibt offen. Wir raten jedoch dringend davon ab, die Gebühr zu bezahlen!

Die App des Entwicklers „Adobe LLC“ ist hingegen schon auffälliger: sie versucht nicht nur, dem Benutzer die fünf Euro zu entlocken, was ein weiteres Indiz dafür ist, dass die Apps von den gleichen Betrügern stammen, sondern sie späht den Nutzer nach der Installation aus. Im Programmcode wird deutlich, welche Daten die App abgreift und weiterverschickt:
Dabei ist das Auslesen von Dingen wie der Systemsprache, der OS-Version oder auch der Bildschirmauflösung Daten, die nicht weiter verfänglich sind. Der Mobilfunkanbieter (Carrier) ist jedoch nicht zwingend notwendig. Zusätzlich zu diesen Informationen liest die App auch noch die IMEI des Gerätes aus und an diese ist sozusagen der Fingerabdruck des Gerätes und somit äußerst wertvoll und schützenswert. Erbeuten die Betrüger eine IMEI, gäbe es verschiedene Möglichkeiten, wie sie diese nutzen könnten, wie zum Beispiel:

  • Sie könnten das Gerät mit der IMEI klonen.
  • Sie könnten die IMEI benutzen, um das Gerät zu verfolgen (Tracking).

Der Datendiebstahl der App geschieht für den Benutzer unbemerkt im Hintergrund. Im Vordergrund passiert jedoch auch etwas: Die gefälschte Anwendung zeigt dem Benutzer noch eine sogenannte App Wall. Auf ihr sind weitere Anwendungen gezeigt, die den Benutzer potentiell interessieren könnten. Unter Umständen ist hier das Auslesen der Sprache und Co. schon zum Tragen gekommen, damit die angezeigten Apps auf den Benutzer zugeschnitten sind.

Fazit

Die Sicherheit des Google Play Stores ist sehr hoch, doch bei der Masse an (neuen) Apps kann es eben auch dort vorkommen, dass sich unerwünschte Programme einschleichen, trotz der Schutzmechanismen wie etwa dem Google Bouncer – G DATA berichtete bereits im MalwareReport H2 2012. Nutzer müssen auch bei der Benutzung des Google Play Stores Vorsicht walten lassen und ihre Mobilgeräte am besten zusätzlich mit einer Sicherheitslösung schützen.

Tipps

  • Benutzen Sie eine umfassende Sicherheitslösung für Ihr Android-Mobilgerät, wie zum Beispiel die G DATA Internet Security für Android.
  • Laden Sie Apps möglichst nur aus dem offiziellen Google Play Markt und vertrauenswürdigen Quellen.
  1. Achten Sie dabei besonders auf App-Bewertungen und Kommentare sowie die von der App geforderten Berechtigungen. Prüfen und evaluieren Sie diese vor der Installation.
  2. Wenn Sie sich Exemplare von weltweit bekannter Software laden möchten, überprüfen Sie, ob der im Store angegebene Entwickler wirklich der Hersteller der bekannten Software ist – besuchen Sie dazu zum Beispiel die Herstellerseite und gehen von dort in den App Store.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein