Klickbetrug durch chinesisches Werbenetzwerk Mintegral in 1.200 iOS-Apps

Sicherheitsforscher haben festgestellt, dass das chinesische Werbenetzwerk Mintegral, welches in 1.200 iOS-Apps enthalten ist, ein schädliches Verhalten (Daten abziehen, Klick-Betrug durchführen) zeigt. Die Apps mit diesem Werbenetzwerk kommen auf Milliarden Installationen. Apple kann in dem verwendeten SDK jedoch kein schädliches Verhalten erkennen, hat aber Maßnahmen ergriffen, um das Datensammeln in iOS durch den Nutzer unterbinden zu lassen.


Anzeige

Der chinesische Anbieter Mintegral ist Anbieter von mobilen Werbeplattformen mit Niederlassungen in den Vereinigten Staaten, Europa und Asien. Mintegral hat ein SDK (Software Development Kit) entwickelt, welches in iOS-App eingebettet werden kann. Die App-Entwickler können so das Werbenetzwerk von Mintegral auf einfache Art einbinden.

Mintegral SDK für iOS mit 'Beifang'?

Wird in einem solchen SDK eine 'Sauerei' betrieben, wirkt sich dies direkt auf sehr viele Apps aus, die genau dieses SDK verwenden. Genau das scheint bei Mintegral jetzt passiert zu sein, denn Snyk gibt an, man habe ein bösartiges Verhalten in Bezug auf Werbung in den iOS-Versionen des Mintegral-SDK identifiziert. Der nachfolgende Tweet der Sicherheitsforscher von Snyk  weist auf diese Entdeckung hin.

In den Android-Versionen des SDK scheint der bösartige Code nicht vorhanden zu sein. Das SDK ist in 1.200 iOS-Apps eingebunden, und das Unternehmen Snyk schätzt, dass die 1.200 betroffenen iOS-Apps jeden Monat etwa 300 Millionen Mal heruntergeladen werden.

Der bösartige Code wurde in den iOS-Versionen des Mintegral SDK vom Juli 2019 gefunden. Der bösartige Code kann Benutzeraktivitäten ausspionieren, indem er URL-basierte Anfragen der App erfasst und protokolliert. Diese Aktivität wird auf einem Server eines Drittanbieters protokolliert und könnte möglicherweise persönlich identifizierbare Informationen (PII) und andere sensible Informationen enthalten.


Anzeige

Angeblicher Ad-Betrug durch Code im SDK

Das Mintegral SDK unterstützt App-Entwickler und Werbetreibende beim Aufbau eines monetarisierten werbebasierten Marketings. Entwickler können sich als Publisher beim Werbenetzwerk anmelden und das SDK von der Mintegral-Website herunterladen. Sobald das SDKin der App eingebunden ist, injiziert es Code in Standard-iOS-Funktionen innerhalb der Anwendung. Der Code wird ausgeführt, sobald die App eine URL öffnet. Das umfasst sogar der App-Store-Links, die in der App aufgerufen werden.

Dadurch erhält das SDK Zugriff auf eine beträchtliche Datenmenge und sogar auf potenziell private Benutzerinformationen. Das SDK untersucht auch speziell URL-Ereignisse, um festzustellen, ob das Anzeigennetzwerk-SDK eines Wettbewerbers die Quelle der Aktivität war.

Mintegral SDK
(Mintegral SDK , Quelle: Snyk)

Das Snyk-Team will nun durch eigene Forschung und in Zusammenarbeit mit Experten aus der mobilen Werbebranche herausgefunden haben, dass bösartiger Codes innerhalb des SDK potenzielle Einnahmen aus anderen Werbenetzwerken, die die Anwendung möglicherweise nutzt, stehlen und alle URL-basierten Anfragen, die aus der Anwendung heraus gestellt werden, ausspionieren kann. Darüber hinaus erzeugt der bösartige Code im Mintegral SDK in betrügerischer Weise Benutzer-Klicks (Ad-Clicks) in Anzeigen, wodurch potenzielle Einnahmen von konkurrierenden Anzeigennetzwerken und in einigen Fällen vom Entwickler/Publisher der Anwendung gestohlen werden.

Die Sicherheitsforscher schreiben, dass das Mintegral SDK auch eine Reihe von Anti-Debug-Schutzmechanismen enthält. Diese sind so gestaltet, dass sie Sicherheitsforscher davon abhalten, das wahre Verhalten hinter der App herauszufinden. Im Code gibt es eine besondere Routine, die versucht, festzustellen, ob das Gerät gerootet war und ob irgendeine Art von Debugger oder Proxy-Tools verwendet wird. Bemerkt der Code dies, ändert die Schadfunktion im SDK ihr Verhalten, um das bösartige Verhalten zu verschleiern. Dies kann auch dazu beitragen, dass das SDK Apples App-Prüfprozess unbemerkt durchlaufen konnte.

Laut Snyk entdeckten seine Forscher im iOS-SDK bis zurück zur Version 5.5.1 (veröffentlicht im Juli 2019) diesen bösartigen Code, der das beschriebene Verhalten aufweist. Der Code, an dem sie ihre Analyse durchführten, stammt aus dem offiziellen GitHub-Konto von Mintegral. Snyk hat das SDK mit dem Schadcode "SourMint" getauft.

(Quelle: YouTube)

Das obige Video zeigt  die Erkenntnisse. Details zum gesamten Vorgang sind in diesem Blog-Beitrag der Sicherheitsforscher zu finden.

Apple sieht kein Problem

Security Week schreibt hier jedoch, dass Apple in Kontakt mit den Snyk-Forschern stand, um sicherzustellen, dass es über deren Erkenntnisse vollständig informiert ist. Von Apple heißt es jedoch, dass man keine Beweise dafür gefunden habe, dass iOS-Apps, die das Mintegral SDK verwenden, den Benutzern schaden.

Auf der anderen Seite weist Apple darauf hin, dass die von Snyk entdeckten Mechanismen es ermöglichen, dass Drittanbieter-Code unbeabsichtigte Funktionen einführt. Apple gibt an, dass dieses beschriebene Verhalten häufig vorkomme. Man habe daher Schritte unternommen, um den Benutzern mehr Kontrolle über ihre Daten zu geben und sicherzustellen, dass Apps hinsichtlich der von ihnen gesammelten Daten transparent sind. Das ist aber nur in den neuesten iOS-Funktionen der Fall.


Anzeige

Dieser Beitrag wurde unter App, iOS, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Klickbetrug durch chinesisches Werbenetzwerk Mintegral in 1.200 iOS-Apps

  1. Jan sagt:

    Bittube hat eine Idee enwickelt die Werbung als Einnahmequelle überflüssig macht.

    • Günter Born sagt:

      Hoffentlich weiß die Werbung das auch. Spass beiseite – ich habe mir diesen Artikel zu Bittube angesehen. Dort heißt es, dass sich das Ganze auf Videos als Konkurrenz zu YouTube kapriziert.

      Am Ende des Tages heißt es für App-Entwickler oder Seitenbetreiber – also Content-Anbieter: Wie viel Geld kommt bei rum.

      Meine Erfahrungen aus 13 Jahren Bloggerei: Bisher hat alles außer Werbung aus dem Google-Umfeld nicht wirklich einnahmenmäßig funktioniert. Wird also eine schwierige Kiste, wenn jemand auf Umsatz angewiesen ist.

      • Ano sagt:

        Nein,das Video Portal ist nur ein Nebenprodukt(Browser haben sie auch auf Firefox Basis,inklusive VPN,Werbeblocker und TOR.TOR sollte jedenfalls kommen).

        Die Idee ist die AIRTIME-jeder Webseitenbetreiber bekommt Geld für die Zeit die Besucher auf seiner Seite verbringen.
        Ohne Mining!Das machen Miner freiwillig und bekommen dafür 50%,der Rest geht an User.
        Coins sind begrenzt,die Firma in der EU und an der Börse.
        https://web.archive.org/web/20230519104405/https://www.reddit.com/r/BitTube/

        Vielleicht können sie ja ein Interview machen.Der Erfinder ist ein Iraner der in Österreich aufgewachsen ist.Müsste also auch deutsch sprechen.

  2. Eva-Maria Ursula H. sagt:

    Ich spiele gerne Spiele. Es werden immer Werbungen eingeblendet, was kein Problem für mich ist. Aber richtig nervend ist, dass die Downloadseiten 5 bis 6 Mal hintereinander eingeblendet werden wenn man das x klickt zum schließen der Werbung. Glauben die Macher dieses Blösinns je öfter diese Seite eingeblendet werden desto mehr laden das betreffende runter? Sicher nicht. Jetzt habe ich festgestellt, dass bei diesen Werbungen "Mintegral" in einer Ecke steht. Also denke ich, dass diese Firma dahinter steckt. Lasst doch einfach diesen Mist. Ich habe aus diesem Grund schon einige Spiele deinstalliert. Und anderen Spielern geht es sicher nicht anders.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.