Scareware und anderes in All2MP3

Quicklsilver Logo 5. Januar 2019 Das kleine Programm All2MP3 hat mir lange Zeit gute Dienste bei der Konvertierung von Sound-Dateien geleistet. Doch vor einiger Zeit poppte ein ominöser Update-Dialog auf, der mich auf eine suspekte Webseite leitete. Was war denn da passiert? – Offensichtlich hatte eine unfreundliche Übernahme des Projektes stattgefunden.

Der Dialog für das Update öffnet ungefragt im Hintergrund die Webseite im Browser.

Die automatische Installation des Updates schlägt aufgrund des fehlenden / fehlerhaften Zertifikats naturgemäß fehl.

Beim Aufruf der Webseite wird automatisch das Disk-Image mit dem Installationsprogramm heruntergeladen.

Eine internationale Firma mit vierhundertfünfzig Mitarbeitern für ein kleines Konvertierungstool?

Das Icon täuscht: Es handelt sich nicht um ein reguläres Installationspaket.

Das Installationsprogramm nimmt mehrere Verbindungen ins Internet auf.

Unter anderem die Installation des »Advanced Mac Cleaner« wird vorgeschlagen.

Nach der Installation der vorgeschlagenen Programme wird ein weiteres Installationspaket aus dem Internet geladen.

Der Inhalt des Installationspakets wirkt auf den ersten Blick unverfänglich.

Das Installationspaket nimmt eine Verbindung zu einer Umfrage-Webseite [sic!] auf.

Während der Installation steht zusätzlich noch die Software eines Umfrage-Anbieters zur Auswahl.

Die Scareware »Advanced Mac Cleaner« verunsichert den Anwender durch irreführende Meldungen und Pseudo-Analysen.

Der »Advanced Mac Cleaner« nimmt fröhlich die Kommunikation ins Internet auf.

Auf reddit berichtet ein Anwender von seinen Erfahrungen mit den Hintermännern des »Advanced Mac Cleaner«.

Schon alleine der Dialog, der mich zum Update aufforderte, wirkte mehr als dubios. Eine Domain wie tresrrr.com ist nun nicht gerade eine Zeichenfolge, die seriöse Entwickler für den Vertrieb ihrer Produkte registrieren würden. Und irritierend war auch, dass die aktuelle Version des Programms direkt von der Webseite bezogen werden sollte. Dabei nutzte All2MP3 bisher das Framework Sparkle, um Updates des Programms weitgehend automatisch herunterzuladen und zu installieren. Zu allem Überfluß wurde die Webseite des (vermeintlichen) Anbieters im Hintergrund automatisch geöffnet und die Versionsnummern stimmten auch nicht wirklich überein.

Seltsame Webseite und befremdliche Mitteilungen

Ein Besuch der Webseite des neuen »Anbieters« führte dann relativ schnell zu der Vermutung, dass hier eine Art Übernahme der Webseite und des gesamten Projektes stattgefunden hat. Das Verfahren des Sparkle-Frameworks besteht darin, von der Webseite des Herstellers die aktuellen Versionsinformationen und, sofern ein Update vorliegt, Updates abzufragen und herunterzuladen. Wer die Webseite kontrolliert, auf die Sparkle zugreift, kontrolliert de facto auch die Update-Politik. Mißbrauch wird hier unter anderem durch die Nutzung von Zertifikats-Dateien vorgebeugt. Im Idealfall können nur die eigentlichen Entwickler neue Versionen der Software signieren, nicht signierte Updates werden via Sparkle nicht eingespielt. Wer die Webseite übernimmt, gewinnt also zunächst nicht so viel. Daher auch die Aufforderung, die neue Version direkt von der Webseite herunterzuladen.

So weit, so dubios. Alles in allem also keine gute Idee, ein solches Update einzuspielen. Insbesondere da das automatische Update eben aufgrund eines nicht validen Zertifikats fehlschlug. Auf der anderen Seite war aber meine Neugier geweckt, was denn nun hinter dieser Übernahme stecken könnte. Eine Installation des fragwürdigen Programms könnte doch ganz interessant sein.

Installation unter Quarantäne

Hierzu benötigte ich aber zunächst ein Quarantäne-System, das in keinster Form Daten enthalten durfte, die in irgendeiner Form relevant sein könnten. Das System musste vollständig frisch sein. Dementsprechend wurde auf meinem Macmini macOS 10.14 komplett neu installiert. Weitere Daten außer dem Betriebssystem waren auf dem System nicht vorhanden. Auch wurden keine Passwörter (etwa für's WLAN) auf dem Rechner hinterlegt. Zusätzlich wurde noch LittleSnitch als Firewall installiert, um ausgehende Verbindungen ins Internet überwachen zu können. Und um zu prüfen, ob irgendetwas Mysteriöses im Dateisystem vor sich geht, wurde am Terminal noch der Befehl filemon zur Überwachung der Dateizugriffe ausgeführt.

Also dann, frisch ans Werk. Die Webseite des neuen »Herstellers« wirkte auch inhaltlich genauso zweifelhaft wie die Ankündigung des Updates. Mehrere Hundert Angestellte? Schon klar. Auch startete der Download des Disk-Images automatisch und ungefragt im Hintergrund. Nach dem Öffen des Disk-Images, stellte sich dieses zunächst als harmlos dar: lediglich ein Installationspaket. Das wäre ja auch im Erwartungshorizont eines unbedarften Anwenders.

Firefox, dashlane, Yahoo!, Opera,… WTF!?

Um ein normales Installationspaket handelte es sich jedoch nicht. Vielmehr war es ein als Paket getarntes Programm, das eine Reihe von weiteren Programmen installieren möchte. Dazu gehörte das Programm »Advanced Mac Cleaner«, auf das später noch ausführlich einzuegehen ist, die Suchleiste von Yahoo!, der Browser Opera, das Tool dashlane zur Passwortverwaltung sowie der Browser Firefox. Bemerkenswert ist hier, dass das eigentliche Programm – All2MP3 – an keiner Stelle erwähnt oder zur Auswahl gestellt wurde. Aber was soll's, zu Recherchezwecken habe ich mal alles installieren lassen.

Allerdings wurden die einzelnen Programme nicht durch das ausgeführte Installationsprogramm selbst, sondern durch im Hintergrund agierende, nicht sichtbare Dienstprogramme nacheinander installiert. Zum Teil stammten, wenn ich die Überwachung mittels LittleSnitch richtig gedeutet habe, diese durchaus aus den Originalquellen, zum Teil aber eben auch nicht. Insofern wäre es eine überaus dumme Idee, bei einem der installierten Browser Passwörter für eine Webseite einzugeben. Oder aber gar die Passwort-Verwaltung dashlane zu nutzen, wenn sie auf diese Art und Weise installiert wurde. Ich gehe davon aus, dass die Installation der markenhaften Programme Opera, Firefox und eben dashlane nicht durch die eigentlichen Hersteller autorisiert wurde. Und schließlich war in diesem Zusammenhang noch zu vermerken, dass nicht der Browser Firefox sondern Chromium installiert wurde.

Das Installationsprogramm mit dem sinnfälligen Namen archcheater verbindet sich während der Installation mehrfach mit verschiedenen Servern im Internet, die nicht zur ursprünglichen Domain tresrrr.com gehören. Welche Daten gesendet wurden, konnte ich im Detail nicht nachvollziehen.

Als Zielordner für die Installation wurde bei den meisten Programmen nicht /Applications sondern ~/Applications genutzt. Damit hat die Installation im User Space stattgefunden, sodass die Eingabe eines Admin-Passwortes nicht notwendig war. Die Installation der verdächtigen Programme wird dadurch auch in einem strenger konfigurierten System möglich, da prinzipiell jedes Benutzerkonto für die Installation genutzt werden kann.

Und All2MP3?

Und was war nun mit All2MP3? - Für das eigentliche Programm wurde ein weiteres Disk-Image mit einem weiteren Installationspaket im Hintergrund heruntergeladen. Hierbei handelte es sich aber nicht um ein quasi getarntes Programm, sondern um ein normales Installationspaket, das mit dem Installationsprogramm von macOS eingespielt wird. Ein Blick in den Inhalt des Pakets zeigte keine Merkwürdigkeiten. Aber dies hat nicht zwingend etwas zu bedeuten, denn die Liste der Dateien besagt ja nichts über den Inhalt der Dateien und eine eventuell manipulierte Programmdatei aus.

Während der Installation des Pakets wurde um die Zustimmung für die Installation oder Einrichtung einer Umfrage-Software gebeten. Darauf hatte ich dann mal verzichtet. Andere Leute haben die Installation versehentlich vorgenommen, und waren nicht begeistert.

Die vermeintlich neue Version von All2MP3 entpuppte sich dann auch erwartungsgemäß als Mogelpackung, denn sie bietet keinerlei neue Funktionen und forderte obendrein sofort zur Installation aktueller Updates von tresrrr.com auf.

»Advanced Mac Cleaner«

Während die installierten Programme wie Opera, dashlane, Chromium und All2MP3 keine Aktivität zeigten, brachte sich das Programm »Advanced mac Cleaner« nach einem Neustart immer mal wieder in Erinnerung. Installiert wurden hier einige LaunchAgents unter ~/Library, die mehr oder weniger regelmäßig Warnmeldungen erzeugten. Startet man das Programm selbst, dann erhält man eine Reihe alarmierender Warnungen und Hinweise.

Alles dient offenbar dem Zweck, den uninformierten Anwender mit allerlei roten Warnungen und Hinweisen zu verunsichern und zum Anruf bei der angegebenen Hotline zu animieren. Den Anruf habe ich mir erspart, aber ein wenig Recherche über Google zeigte dann, dass diese Hotline in der Tat das Ziel zu verfolgen scheint, unbedarfte und verunsicherte Anwender zu manipulieren und Zahlungen zu veranlassen. Auf Reddit gibt es einen entsprechenden Bericht.

Und unterm Strich…

Was genau mit dem ursprünglichen Programm All2MP3 passiert ist, konnte ich nicht genau in Erfahrung bringen. Ob der ursprüngliche Entwickler keine Lust mehr hatte, und die Domain einfach aufgab, oder ob da ein schmieriges Geschäft abgelaufen ist, bleibt unklar.

Offensichtlich ist jedoch, dass mit dem Pseudo-Update und den damit einhergehenden Installationsprogrammen und -paketen signifikanter Aufwand betrieben wird, um dem Anwender das Programm »Advanced Mac Cleaner« unterzujubeln. Das Programm wird auch unter anderen Namen verbreitet. Hierzu hatten sich in der Vergangenheit bereits Michael Tsai (»Stay Away From Advanced Mac Cleaner«), das Weblog der Malwarebytes Labs (»PCVARK plays dirty«) sowie die AppleHelpWriter (»Advanced Mac Cleaner strikes again!«) geäußert. Ob und inwiefern die Versionen von Opera, Chromium und dashlane, die ebenfalls installiert wurden, sensible Daten abfangen und verschicken, konnte ich nicht ermitteln, möchte es aber nicht ausschließen.

Unterm Strich sind die beschriebenen Vorgänge rund um All2MP3 etwas nebulös, aber dann doch recht klar. Bei der Installation von Software, auch wenn es sich nur um ein Update handelt, sollte man auch in Zeiten des App Stores und automatischer Updates immer noch ein Mindestmaß an Vorsicht walten lassen.