Vorsicht vor Fleeceware

Wucher-Apps locken Google Play und App Store Nutzer mit einer kostenlosen Probezeit an und berechnen ihnen dann kostenpflichtige Abonnements, auch nachdem die Apps deinstalliert wurden.

Fleeceware-Apps locken Google Play und App Store Nutzer mit einer kostenlosen Proabo und berechnen ihnen danach ein kostenpflichtiges Abonnement, auch wenn sie die App deinstalliert sind.

Erinnern Sie sich noch an Vincent Vega, den Pulp Fiction-Killer, der einen Milchshake probieren wollte, nur weil er satte 5 Dollar kostete? Das ist eine ganz normale Reaktion. Viele Leute verbinden automatisch einen hohen Preis mit außergewöhnlicher Qualität. Wenn man also ein teures Produkt kostenlos testen kann, sind auch diejenigen interessiert, die nicht vorhaben, es zu kaufen. Einige Smartphone-App-Entwickler nutzen dieses menschliche Verhalten schamlos aus.

Die Kosten der Neugier

Ende September fanden infosec-Forscher bei Google Play eine Sammlung von Taschenrechnern, QR-Code-Scannern, Foto-Editoren und andere Programme mit grundlegenden Funktionen zu deutlich überhöhten Abonnementpreisen von bis zu 200 Euro pro Monat. Die Apps wurden von zig Millionen Menschen heruntergeladen, wenn nicht sogar von mehr. Den Benutzern wurde eine dreitägige Testphase versprochen. Dennoch haben viele Benutzer erkannt, dass das Abonnieren solcher Apps sinnlos ist und haben sie daraufhin wieder deinstalliert. Zum Schluss wurden sie aber trotzdem zur Kasse gebeten.

Wie es dazu kam? Beim ersten Start der jeweiligen App mussten die Opfer zunächst ihre Zahlungsdetails angeben. Dies ermöglichte es den gierigen App-Entwicklern, eine Gebühr für das Abonnement zu erheben, ohne sich zunächst die Zustimmung des Benutzers einzuholen.

Zudem ist das Deinstallieren einer App nicht dasselbe wie die Kündigung eines Abos. Tatsächlich macht das auch Sinn, denn so verhindert man z.B., dass Wiedergabelisten in einer Musikplayer-App verloren gehen, wenn man sie versehentlich löscht, die Werkseinstellungen des Geräts wiederherstellt oder die App auf einem neuen Telefon verwendet. Viele wissen jedoch nichts über diese kleine Nuance. Und selbst diejenigen, die von dem kleinen aber feinen Unterschied wissen, vergessen manchmal, ihre Abonnements zu kündigen, und finanzieren somit die Fleeceware-Entwickler.

Technisch gesehen keine Malware

Nun könnten Sie sich fragen, warum solche Apps überhaupt auf Google Play zugelassen wurden. Leider verstoßen diese technisch gesehen nicht gegen die Regeln der App-Stores. Sie führen ihre angegebene Funktion aus, fordern keine unnötigen Berechtigungen an und enthalten keinen Schadcode. Und auch für die Abonnementpreise gelten keine aktuellen Regeln, die sie von Google Play ausschließen würden.

In vielen Ländern gibt es eine festgelegte Obergrenze. Diese gilt jedoch sowohl für einen fortgeschrittenen Video-Editor, der sein Geld womöglich tatsächlich wert ist, als auch für einen simplen QR-Scanner oder eine Taschenlampen-App. Zum Zeitpunkt dieser Veröffentlichung liegt die Obergrenze in den USA bei 400 Dollar, während sie in den meisten Ländern der Europäischen Union und im Vereinigten Königreich etwas unter 350 Euro bzw. 300 Pfund  liegt. Wenn der Abonnementpreis darunter fällt, genehmigt der Store die App – alles andere liegt dann in den Händen des Nutzers selbst.

Als Google auf das Problem aufmerksam wurde, wurden dennoch 14 der 15 Wucher-Apps aus Google Play entfernt, und fast unmittelbar danach fanden die Forscher neun weitere. In der Wirklichkeit wimmelt es in den wichtigsten App-Stores wahrscheinlich nur so von derartigen Programmen.

Fleeceware: Ein neuer Name für einen alten Trick

Solche Apps können nicht als Malware bezeichnet werden, weshalb für sie ein neuer Begriff erfunden wurde: Fleeceware. Trotz der Neuheit des Namens gibt es den Trick selbst (das Angebot einer kostenlosen Testversion mit kostenpflichtigem Abonnement, das im Kleingedruckten versteckt ist) schon seit einer gefühlten Ewigkeit. Und nicht nur Entwickler für Handyapps nutzen ihn.

Zum Beispiel verteilte eine Gruppe von zwielichtigen Verkäufern in den Jahren 2011–2012 angeblich kostenlose Hautcreme-Proben an Frauen in Großbritannien, die online bestellt werden mussten. Bei der Bestellung wurden die Benutzer automatisch für eine monatliche Zahlung von £ 60 bis £ 70 (ca. 80 bis 90 Euro) angemeldet. Dieses kleine Detail tauchte im Kleingedruckten auf, das nur wenige Menschen lesen wollten.

Fleeceware für iOS

Natürlich gibt es dieses Problem nicht nur auf Android. Entwickler von Fleeceware-Apps haben auch iOS nicht übersehen. Im Jahr 2017 wurde beispielsweise eine App namens Mobile Protection: Clean & Security VPN aus dem App Store entfernt. Es wurde von 50.000 Benutzern heruntergeladen, und mindestens 200 von ihnen entschieden sich, das angebotene abonnementbasierte VPN zu testen, indem Sie durch die angepriesene „dreitägige Testversion“ getäuscht wurden. Ihre Neugier kostete sie im Durchschnitt rund 400 Dollar pro Monat.

Es war nicht nötig, die anderen App-Funktionen zu abonnieren, die auf jeden Fall wenig Sinn hatten. Zum Beispiel hat die App das Telefon gesäubert, aber keine temporären Dateien und nicht verwendeten Apps bereinigt, sondern nur doppelte Kontakte im Adressbuch.

Ein weiteres Beispiel für iOS-Fleeceware war ein QR-Code-Scanner. Um sich für eine kostenlose Testphase anzumelden, wurden beim Start der App die Zahlungsdetails abgefragt. Nach drei Tagen wurden 3,99 US-Dollar pro Woche berechnet.

Nach mehreren Vorfällen dieser Art begann Apple, Apps zu beschränken, deren Abonnementbedingungen nicht hinreichend erläutert sind. In iOS 13 wird eine Warnung angezeigt, wenn versucht wird, eine App mit einem aktiven Abonnement zu deinstallieren.

So schützen Sie sich vor Fleeceware

Fleeceware nutzt die natürliche Neugier und Sorglosigkeit der Menschen sowie ihre Liebe zu Gratisprodukten, gepaart mit der Abneigung, die Abonnement-AGB sorgfältig durchzulesen. Seien Sie misstrauisch gegenüber allem, was ungewöhnlich aussieht, um nicht auf derartige Tricks hereinzufallen:

  • Laden Sie keine Apps herunter, die einfache Funktionen zu überhöhten Preisen oder im Abonnement anbieten.
  • Lesen Sie vor der Installation einer App die Bewertungen sowohl der App als auch des Entwicklers durch. Informationen zu verwandten Betrügermaschen sind online vermutlich bereits zu finden.
  • Wenn Sie sich für eine kostenlose Testphase anmelden und die App auch in Zukunft nicht bezahlen möchten, vergewissern Sie sich, dass Sie das Abo danach kündigen. Sie können dies in der Abonnementverwaltung Ihres Google Play-Kontos tun, wenn Sie ein Android-Gerät besitzen , oder in iTunes, wenn Sie ein iPhone oder iPad verwenden.
Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.