Die Ai.type-App wurde im Juni 2019 aus Google Play entfernt - ist aber immer noch auf Millionen von Android-Geräten vorhanden und ist auch auf anderen Android-Marktplätzen verfügbar, warnen Forscher.
Die Forscher warnen die Nutzer davor, eine beliebte Android-Tastaturanwendung zu löschen, die nach dem Herunterladen unautorisierte Käufe von digitalen Premium-Inhalten tätigt. Google teilte Threatpost mit, dass es die App von seinem Google Play-Marktplatz entfernt hat - aber die Forscher sagen, dass sie auf mindestens 40 Millionen Handys weltweit heruntergeladen wurde und somit weiterhin eine Bedrohung darstellt.
Die App, Ai.type, ermöglicht es den Nutzern, ihre Tastatur mit verschiedenen Schriftarten und Emoticons zu personalisieren. Sie wurde von der israelischen Firma Ai.type Ltd. entwickelt, so die Forscher des Mobilfunkunternehmens Upstream. Ai.type Ltd. reagierte nicht auf eine Anfrage von Threatpost nach einem Kommentar.
Nach dem Herunterladen, so die Forscher, mache die App "verdächtige" Anfragen, um den Kauf von digitalen Premium-Diensten im Hintergrund auszulösen - die Nutzer seien sich der Aktivität also nicht bewusst. Im Vorfeld wurden 14 Millionen solcher Transaktionsanfragen von 110.000 einzigartigen Geräten entdeckt, die die Tastatur vom Typ Ai.type heruntergeladen haben. Wären diese Transaktionen nicht erkannt und blockiert worden, hätte die App die Opfer bis zu 18 Millionen Dollar kosten können, so die Forscher.
"Die Anwendung hat Millionen von unsichtbaren Anzeigen und gefälschten Klicks geliefert, während sie gleichzeitig echte Nutzerdaten über echte Ansichten, Klicks und Käufe an Werbenetzwerke liefert", sagten die Forscher von Upstream am Donnerstag. "Ai.type führt einige seiner Aktivitäten aus, die sich unter anderen Identitäten verstecken, einschließlich der Tarnung, um populäre Anwendungen wie Soundcloud zu verfälschen. Zu den Tricks der Apps gehört auch ein Anstieg verdächtiger Aktivitäten, sobald sie aus dem Google Play-Store entfernt wurden.
In einer E-Mail an Threatpost bestätigte ein Google-Sprecher, dass die App im Juni 2019 aus Google Play entfernt wurde - aber sie ist immer noch auf anderen Android-Marktplätzen verfügbar, warnten Forscher. Darüber hinaus ist die App auch auf Apples App Store Marktplatz verfügbar. Ein Apple-Sprecher sagte gegenüber Threatpost, dass die App derzeit geprüft wird.
Kurz nach der Entfernung aus Google Play stiegen die verdächtigen Aktivitäten ab Juli 2019 für einen Zeitraum von zwei Monaten exponentiell an. Die verdächtigen Aktivitäten wurden in 13 Ländern registriert, besonders hoch war der Anteil jedoch in Ägypten und Brasilien.
Die Forscher sagten, dass sie bei Tests die Auswirkungen der App auf ein Samsung SM-J500F und ein Samsung GT-19500 untersucht haben.
Die auf jedem Gerät installierten Ai.type-Versionen enthielten SDK-Frameworks mit verschleierten, hartkodierten Links zurück zu Werbetrackern, die von mobilen Werbenetzwerken zur Anzeige von Werbung verwendet werden. Darüber hinaus lädt die App zusätzlichen JavaScript-Code herunter, der zur Durchführung automatisierter Klicks verwendet werden kann.
Die App tarnt sich dann als beliebte Apps - wie z.B. Soundcloud - und abonniert Benutzer für Premium-Dienste, wodurch die mobilen Daten verbraucht und Gebühren hinzugefügt werden sowie die Akkulaufzeit und die Gesamtleistung des Geräts reduziert wird.
Was die Art und Weise betrifft, wie die Zahlungsinformationen der Opfer für die Premium-Dienste verwendet werden, so "handelt es sich um digitale Dienste, die über eine direkte Abrechnung mit dem Netzbetreiber abgerechnet werden, d.h. die Nutzung der mobilen Sendezeit der Nutzer", so die Upstream-Forscher gegenüber Threatpost. "Es besteht keine Notwendigkeit, auf eine Bankkontonummer zuzugreifen."
Die einzige rote Fahne, die die Nutzer darauf hinweisen könnte, dass etwas nicht stimmt, sind die Verifizierungstexte für Abonnements; diese können von digitalen Premium-Diensten an die Geräte der Opfer gesendet werden, um ihre Teilnahme zu bestätigen.
Zusätzlich zu den Abonnements erfordert die App auch eine große Anzahl von Berechtigungen von Nutzern, die von den Upstream-Forschern als "gefährlich" eingestuft werden - einschließlich der Berechtigungen für den Zugriff auf und die Anzeige von Textnachrichten, Fotos, Videos, Kontaktdaten und die Speicherung auf dem Gerät.
Die offiziellen App-Stores sowohl für iOS als auch für Android werden weiterhin von Apps geplagt, die Werbebetrug begehen. Anfang Oktober beispielsweise deckten Forscher 17 Anwendungen im offiziellen App Store von Apple auf, die im Hintergrund werbebezogene bösartige Aktivitäten ausführten, darunter das ständige Öffnen von Webseiten und das Klicken auf Links ohne jegliche Benutzerinteraktion.
Und Anfang 2019 entfernte Google Play mindestens 85 gefälschte Apps, die als Spiel-, Fernseh- und Fernbedienungssimulator-Apps getarnt Adware enthielten. Nach dem Herunterladen versteckten sich die gefälschten Anwendungen auf dem Gerät des Opfers und zeigten weiterhin alle 15 Minuten eine Vollbildanzeige.
Ai.type hat seinerseits in der Vergangenheit Sicherheitsprobleme gehabt - 2017 wurden über 31 Millionen persönliche Daten von Kunden über eine exponierte Datenbank durchgesickert. Und 2011 befand sich die App in heißem Wasser, weil sie die Tastenanschläge der Nutzer im Klartext an die Server der Entwickler schickte.
Die Forscher sagten Threatpost, dass sie sich nicht an Ai.Type LTD gewandt haben, sondern typischerweise eher ihre Ergebnisse untersuchen und berichten, "die wir immer offen mit der Öffentlichkeit und der Sicherheitsgemeinschaft teilen".
"Nach der Veröffentlichung unserer Berichte wurden wir von den Entwicklern um weitere Einblicke und Unterstützung gebeten", sagten sie gegenüber Threatpost.
Die Forscher rieten allen Verbrauchern, die Ai.type heruntergeladen haben, ihre Telefone auf ungewöhnliches Verhalten zu überprüfen.
"Die Benutzer sollten ihre Telefone regelmäßig überprüfen und jede gemeldete Malware entfernen", so die Upstream-Forscher. "Sie sollten auch ihre Rechnungen auf unerwünschte oder unerwartete Gebühren für den Zugriff auf Premium-Datendienste überprüfen und auf Anzeichen für eine erhöhte Datennutzung achten, die darauf hinweisen könnten, dass eine bösartige Anwendung im Hintergrund Daten verbraucht.