Applinked: Cyber Threat Researcher enthüllt, was im neuesten Update

Applinked: Cyber Threat Researcher enthüllt, was im neuesten Update

enthalten ist

Applinked

Applinked ist eine der Anwendungen / Dienste, die die Lücke nach dem beliebten Filelinked Tool wurde traten zu füllen abgehängt von der Allianz für Kreativität und Unterhaltung.

Die Software, die bereits Hunderttausende von Nutzern hat, fungiert als inoffizieller kostenloser Marktplatz für hauptsächlich auf Piraterie ausgerichtete Apps, die aus genau diesem Grund im Google Play Store nicht zugelassen sind. Natürlich gibt es viele, die es vorziehen würden, wenn Google nicht jede Software mit einem Stab aus Eisen kuratiert, aber in manchen Situationen kann sich das als vorteilhaft erweisen.

Anfang Oktober gab der Entwickler von Applinked, Inside4Android, bekannt, dass er ab dem 21. des Monats den Code des Tools nicht mehr besitzen wird.

Veteranen der Filesharing-Welt werden erkennen, dass diese Art von Ankündigungen normalerweise nur mit einer Handvoll grundlegender Ereignisse verbunden sind. Entwickler können beispielsweise die Arbeitsbelastung überdrüssig werden oder können die erforderlichen Ressourcen nicht einsparen. Oft fürchten sie sich im Stillen vor rechtlichen Schritten. In anderen Fällen greifen die Leute ein und machen ein Angebot, das zu gut ist, um es abzulehnen.

Im Fall von Applinked sagte der Entwickler, er könne das Arbeitsvolumen einfach nicht bewältigen. Seine Ankündigung deutete jedoch darauf hin, dass er auch etwas Abstand zwischen sich und der App schaffen wollte. Dies könnte von seinen vertrauenswürdigen Benutzern in erster Linie so gesehen werden, dass er das Richtige tut. Schließlich sind sie wegen seines Rufs an Bord gekommen und wenn er nicht mehr das Sagen hat, könnten sich die Dinge ändern.

Die Dinge haben sich geändert, aber nicht für immer

Letzte Woche haben wir herausgefunden , dass Applinked, nachdem es anscheinend an seine neuen Besitzer übertragen wurde, plötzlich von einer kleinen ~4 MB-App zu einem gewichtigen ~34 MB-Mystery-Paket gewachsen ist, das mehr als 15 Viren- und Malware-Warnungen auslöste, von denen einige schwerwiegend waren.

Wie wir damals vorgeschlagen haben, ist dies aus der Sicht des Benutzers selten ein Zeichen für etwas Gutes. Wenn der Applinked-Entwickler also öffentlich erklären könnte, was passiert ist, könnte dies hilfreich sein. Immerhin hatte er zuvor behauptet, nach der Übergabe noch sechs Monate an der App zu arbeiten, also sollte er es wissen, wenn es jemand wissen sollte.

Das geschah nicht sofort, aber letzte Woche wurde auf Twitter eine neue Erklärung veröffentlicht, die nichts besonders aufklärte, aber anscheinend einräumte, dass die Dinge möglicherweise nicht nach Plan verlaufen.

Das Weitergeben von Projekten ist in der Filesharing-Welt nicht ungewöhnlich, insbesondere wenn die Alternative darin besteht, dass sie sterben. Das wäre laut dem Entwickler eine große Sache, da Berichten zufolge Hunderttausende von Menschen die App nutzen. Allerdings haben Apps mit dieser Art von Followern einen erheblichen Wert, wenn sie monetarisiert werden. Darüber wurde in der Öffentlichkeit nichts gesagt, aber der ursprüngliche Entwickler hat zugegeben, dass ein namenloses „Unternehmen“ Applinked übernommen hat.

Ein weiteres Update, mehr Malware-Warnungen

Letzte Woche wurde ein weiteres Applinked-Update veröffentlicht. Die neue Version gibt beim Scannen immer noch 15 oder mehr Malware-Warnungen aus und ist auch noch größer geworden. Die brennende Frage ist natürlich, wozu all dieser zusätzliche Code dient und warum er plötzlich benötigt wird. Um dies ein für alle Mal zu klären, haben wir mehrere Antiviren-Hersteller um eine detaillierte Analyse gebeten.

Während viele Anbieter nicht reagierten, sagte das Cybersicherheitsunternehmen Group-IB , es werde einen seiner Cyber-Bedrohungsforscher bitten, eine Analyse durchzuführen. Wir haben Links zum alten APK, zum neuen, bereitgestellt und Group-IB gebeten, festzustellen, ob letzteres aufgrund seiner massiven Zunahme böswillig handelt und wenn ja, was es genau tut.

Während dieser Aufgabe gab der Entwickler ein unerwartetes Interview auf YouTube. Würde dies mehr Licht in die Situation bringen?

YouTube-Interview

Das Interview fand am vergangenen Donnerstag auf dem YouTube-Kanal von Streaming Matters über 55 Minuten statt. Im Wesentlichen lieferte es einige anständige Hintergrundinformationen über die App, den Entwickler und wie Applinked viel zu schnell erfolgreich wurde, was das Geschäfts- und Privatleben des Entwicklers belastete.

Ungefähr nach 19 Minuten enthüllte Inside4Android, dass ein Unternehmen einen Ansatz gemacht und angeboten hat, "alle Probleme wegzunehmen". Das erwies sich als attraktiv, aber seitdem sagte Inside4Android, er habe „nur Ärger“ von Leuten bekommen, die mit dem Lauf der Dinge unzufrieden waren.

Der Entwickler merkte an, dass dies nicht wirklich fair ist, da er zu seiner Zeit keine Anstrengungen unternommen hatte, die App in irgendeiner Weise zu monetarisieren, und zumindest nach dem, was wir gesehen haben, gibt es keinen Grund, an dieser Behauptung zu zweifeln.

Er bestätigte weiter, dass er jetzt in einer beratenden Rolle für den neuen Eigentümer tätig ist, Code empfängt und ihm den Daumen nach oben (oder unten) gibt, was darauf hindeutet, dass er sich bewusst ist, in welche Richtung die App geht. An diesem Punkt blieb also nur noch die Erklärung des zusätzlichen Bloats in der App, das die Malware-Warnungen zu verursachen scheint. Als diese Erklärung kam, war es, gelinde gesagt, ziemlich ungewöhnlich.

Nachdem der Interviewer die massiv gestiegene Dateigröße angesprochen hatte, wartete er nicht auf eine Antwort. Stattdessen begann er sofort, scheinbar aus dem Nichts, seine eigene Hypothese zu malen, die gegen alle Widrigkeiten offensichtlich zu 100% richtig war.

Interviewer: „Ein weiterer Hinweis für viele Leute war, als sie sahen, wie die Größe zunahm. Es könnten die Bilder sein, hat die neue APK viele Daumenbilder und ähnliches? Denn oft wachsen Anwendungen, wenn man Kunst oder Bilder hinzufügt.“

Inside4Android: „Das ist 100% richtig. Es dreht sich alles um Cache. Sie bauen den Cache mit einer Anwendung auf, weil jedes Bild, das es zieht … und in ein Miniaturbild oder was auch immer lädt, es speichert, damit es beim nächsten Mal schneller geladen werden kann. Das ist im Grunde das, was es tut.“

Nachdem wir dies gehört hatten, gab es mehr als ein bisschen Bedenken, dass wir einen Experten für Cyber-Bedrohungen gebeten hatten, wertvolle Zeit damit zu verbringen, sich eine Reihe langweiliger Bilder anzusehen. Als die Analyse jedoch von Feixiang He, Group-IB Adversary Intelligence Research Lead bei Group-IB, erstellt wurde, waren Bilder überhaupt nicht der Hauptgrund für die Größenzunahme.

Group-IB-Bedrohungsanalyse

„Der starke Anstieg der App-Größe wird durch ein zusätzliches natives Linux-Code-Modul ‚libfrpc.so' verursacht. Dieses Modul trägt insgesamt 56 MB zur [extrahierten] Größe der App bei“, verriet Feixiang He.

„Es verwendet ein Open-Source-Reverse-Proxy-Projekt frp (https://github.com/fatedier/frp), was der Hauptgrund dafür ist, dass die neue Version der App VirusTotal-Erkennungen wie „RiskWare:Linux/Fatedier.76937499“ auslöst ' und 'Riskware.Frp.B'.

Der Analyse zufolge wird das Modul „libfrpc“ von einer neuen App-Monetarisierungsfunktion namens „Linda“ verwendet, die kontinuierlich einige grundlegende Geräteinformationen an die Serverdomäne „monetizeweb.io“ sendet. Der Group-IB-Forscher sagt, dass der genaue Zweck des Exports dieser Informationen unklar ist, aber er wurde aus mehreren Perspektiven „ein bisschen misstrauisch“.

„Es ist normal, dass Android-Apps versuchen, Fingerabdrücke von Mobilgeräten zu erstellen, indem sie Informationen an einen Werbeserver senden. Aber es gibt nur sehr wenige öffentliche Informationen über Lindas Dienst oder die Domäne“, erklärte er.

„Es ist seltsam, einen Reverse-Proxy zu verwenden, um eine Verbindung zu Anzeigenservern herzustellen. Dafür reicht eine normale HTTP- oder HTTPS-Verbindung. Ein Reverse-Proxy könnte verwendet werden, um Firmen-Firewalls von der Seite zu durchbrechen. Es ist sehr besorgniserregend.“

Eine JoeSandBox-Analyse von Applinked zeigt diese und andere ernsthafte Bedrohungen in einem visuellen Format.

Angewandte Sandbox

Laut Sandbox-Analyse prüft die App, ob Geräte gerootet sind (überprüft superuser.apk) und fordert dann Root-Zugriff an. Die App versucht, auf GPS-Standortdaten zuzugreifen und sucht auch Informationen von SIM-Karten. Weitere Tests zeigen, dass die IP-Adressen der Nutzer an einen Server eines Drittanbieters gesendet werden.

Abschluss

Apps mit Hunderttausenden von Nutzern sind sehr wertvolle Vermögenswerte und reif für die Monetarisierung. Niemand sollte überrascht sein zu erfahren, dass Apps – insbesondere solche, die für Piraten attraktiv sind – in vielen Fällen existieren, um Geld zu verdienen. In diesem Fall deuten alle Anzeichen darauf hin, dass der Bauträger ursprünglich nicht mit kommerziellen Absichten begonnen hat, aber es scheint, dass die neuen Eigentümer andere Ideen haben.

Auch dies ist keine Überraschung, aber die Art und Weise, wie dies gehandhabt wurde, ist es sicherlich. Wenn die frühere Ankündigung zumindest bestätigt hätte, dass die Monetarisierung der Plan war, der voranschreitet, hätten die meisten Benutzer nicht geblinzelt oder sich überhaupt darum gekümmert. Die roten Flaggen hier an fast allen Fronten nach den neuesten Updates sind jedoch zu zahlreich, um sie zu ignorieren, und scheinen weit über das Verdienen von ein paar Dollar hinauszugehen.

via Torrentfreak • CC BY-NC 3.0 license

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.