Ein kurioser Fall erschüttert die digitale Welt. Auf unerklärliche Art und Weise haben es Glücksspiel-Apps geschafft, sich an den Prüfinstanzen des Google Play und App Store vorbeizumogeln, indem sie harmlose Apps nachahmten, die mit den Richtlinien vereinbar sind. Bereits kurze Zeit nach der illegalen Distribution konnten User auf die fragwürdigen Funktionen der Applikationen zugreifen. Während der Vorfall schon im August 2019 stattfand, konnten sich die besagten Apps im iOS-System deutlich länger halten, da sie schon nach wenigen Wochen mehr als 100.000 Mal bewertet wurden.
So konnten die Apps alle Richtlinien umgehen
Erst vor wenigen Monaten verschärfte der App Store die eigenen Beschränkungen in puncto Glücksspiel mit Echtgeld. Dazu gehören unter anderem Lotterien, klassisches Glücksspiel, Spendenaufrufe sowie elektronischer Handel. Seit dem 03. September müssen alle fraglichen Applikationen einen zusätzlichen Code für diese Funktionialitäten mitbringen, um anschließend von Apple geprüft werden zu können. Ähnlich funktioniert das auch bei der Konkurrenz.
Google lässt Glücksspiel Apps im Android Store zu, beispielsweise Blackjack, Slots oder Roulette Live – allerdings nur von Anbietern, die bereits im Vorfeld nachweisen konnten, dass sie die erforderliche Lizenz im entsprechenden Bereich besitzen (z.B. Winners Casino). Trotzdem hat es eine Reihe von Entwicklern geschafft, Apps zu veröffentlichen, die gegen die strikten Vorschriften der beiden beliebten Plattformen verstoßen.
Um das zu erreichen, haben die fragwürdigen Unternehmen klassische Funktionen einer Applikation (Wetterbericht, Entertainment, Information) in die entsprechende App eingebaut, das Programm allerdings im gleichen Atemzug mit einem API Switch versehen, mit dem sich die illegalen Inhalte hinter dieser Fassade vorübergehend ein- bzw. ausschalten lassen. Die Fassade einer seriösen App wird dabei nur solange aufrechterhalten, bis sie den Weg in den entsprechenden Store geschafft hat. Sobald das geschehen ist, wird der wahre Content über eine Web-URL geladen in die App geladen.
„Die App erfragt beim Start die spezifische Adresse einer App ID. Die Antwort wird dabei über ein Base64-Protokoll verschlüsselt“, heißt es von Seiten der enthüllenden Medienberichte. Nur eine gültige ID der App würde dafür sorgen, dass die illegalen Inhalte zum Vorschein kommen. Ist das nicht der Fall, hält die App solange die Fassade einer seriösen App aufrecht, bis der Wechsel geschieht.
Um letztlich im Store zu landen, seien jedoch etliche Schritte notwendig, heißt es im Bericht weiter. Zunächst einmal müsse die „normale App“ bei Apple bzw. Google zur ersten Kontrolle eingereicht werden. Sobald geprüft und im Store, kann der Entwickler anschließend den API ausschalten und ein Update über WebView forcieren. Das wiederum erlaubt der App, die nächste Kontrolle nach dem ersten Update zu umgehen. Sobald dieser Schritt erledigt ist, kann der Entwickler den fragwürdigen API wieder einschalten und der User bekommt die Glücksspiel-Inhalte direkt aufs Smartphone.
Falsche Apps bleiben lange unter dem Radar
Was zunächst nach einem Prozess klingt, der gerade einmal zwei Stunden andauern kann, entpuppt sich in der Realität als langwierige, schwierige Aufgabe für die geviewten Hacker. Einige der fragwürdigen Apps waren fast zwei Jahre im Store zu haben, bevor sie das ausgefeilte WebView Update erhielten. Eine Taktik, die durchaus Sinn ergibt, glaubt Trend Micros, denn schließlich gibt der Flug unter dem Radar den Apps die Möglichkeit, massenweise positive Bewertungen, Kommentare und Reviews anzuhäufen – ein nicht zu unterschätzender Faktor für die Post-Update-Prüfung.
Die Enthüllungsjournalisten entdeckten dabei keinerlei bösartige Funktionalitäten der Apps selbst. Lediglich das Hochladen der Glücksspiel Seiten über WebView sei ein verbotener Akt, hieß es in der Studie zu den Fake Apps. Auf einer chinesischen Plattform hatten es die falschen Apps sogar in die Top 100 der Verkaufscharts geschafft. Der erste Blick verrät dabei kaum etwas über die falsche Identittäten der Applikationen. Sie sehen aus wie herkömmliche Apps und funktionieren auch dementsprechend in Einklang mit den Shop-Richtlinien.
Dennoch war Trend Micro in der Lage, mithilfe spezieller Keywords hunderte kompromittierte Apps zu finden. Dabei bezog sich die Untersuchung lediglich auf China, die USA und Japan. Die meisten der falschen Apps fand die Studie in China, wo Glücksspiel illegal ist. Über 500 fragwürdige Programme überfluteten dort den Markt. Knapp über 200 illegale Apps sorgten auch in den US-amerikanischen Stores für Verwirrung. Sowohl Google als auch Apple wurden inzwischen über die Vorkommnisse informiert und die fragwürdigen Apps von den offiziellen Plattformen entfernt.
