Piraterie: So leicht implementiert man einen Keylogger in SwiftKey

Heute Morgen las ich einen interessanten Text über App-Piraterie. Es ging dabei nicht darum, den Usern zu erzählen, wie schlecht und böse das Stehlen von Apps ist, denn das wissen die Täter meist selbst. Der Autor zeigte am Beispiel von SwiftKey, wie leicht Malware in eine App eingeschleust werden kann. Ein abschreckendes Beispiel.

Piraterie: So leicht implementiert man einen Keylogger in SwiftKey

SwiftKey ist die beliebteste Kauf-App im Play Store. Zu Recht, wie ich finde, denn die Vorhersagetechnik ist wirklich klasse. Bei einem Preis von 3,99€ sinkt natürlich die Hemmschwelle, die App aus illegalen Quellen zu beziehen. Vor allem bei Tastaturen, die Zugriff auf jeden eingegebenen Buchstaben haben, kann App-Piraterie aber fatale Folgen haben.

Die Schritte im Einzelnen erklärt

Um zu zeigen, wie einfach es ist, einen Keylogger, der den gesamten eingegebenen Text an eine festgelegte Internetseite schickt, in SwiftKey zu implementieren, hat der irische Entwickler nicht nur eine solche modifizierte App programmiert, er hat auch gleich das Tutorial dazu geschrieben.

Vom Dekompilieren von SwiftKey, über das Verändern des Codes, bis hin zum Rekompilieren beschreibt er jeden Schritt und erklärt, was es mit dem jeweiligen Code auf sich hat. Alles, was man für den Hack benötigt, sind ein frei erhältliches Tool und einen Editor. Das war’s. Um einen solchen Keylogger, der Passwörter, Kreditkarten- und Zugangsdaten auf einen entfernten Server überträgt, selber schreiben zu können, seien nur Grundkenntnisse in Java und Android notwendig.

Man wird sich der Gefahr, in die man sich mit gestohlenen Apps begibt, oftmals erst bewusst, wenn es zu spät ist und man die Konsequenzen am eigenen Leib erfährt. Deswegen kann ich die Aussage des Entwicklers (Stick to the Play store and don't pirate apps!) nur unterschreiben.

Malware für den Selbsttest

Wenn Ihr Euch selber mit der Thematik auseinandersetzen und nachvollziehen wollt, wie einfach das Hacken einer Android-App ist, dann lege ich Euch den Artikel des irischen Entwicklers ans Herz.

Ihr könnt außerdem die modifizierte SwiftKey-App herunterladen und Euch ein Bild davon machen, dass nach einigen wenigen Quellcode-Modifikationen der gesamte eingegebene Text an einen Server übertragen wird. Einfach die App herunterladen und installieren. Auf dieser Seite findet Ihr unter Eurer IP-Adresse (findet Ihr unter diesem Link mit dem Smartphone heraus) den eingegebenen Text. Und nicht vergessen: Die App nach dem Testen wieder löschen, sonst stehen Eure Passwörter bald wirklich im Netz.

Keylogger SwiftKey APK

Quelle: Entwicklerblog

Nichts mehr verpassen? Dann folge GIGA Android bei Facebook, Google+ oder Twitter!

Neue Artikel von GIGA ANDROID

GIGA Marktplatz