Pay-per-install laut Google größeres Ärgernis als Malware

-Bloatware Malware (Bild: Shutterstock/Ollo)

Hinter Pay-per-install verbirgt sich ein Geschäftsmodell mit kostenloser Software, bei dem dafür bezahlt wird, dass ein Programm beim Download weitere mitbringt, etwa um die Suche umzuleiten oder Anzeigen einzuspielen. Den Markt hat Google jetzt zusammen mit Wissenschaftlern der Universität New York und des International Computer Science Institute gründlich untersucht.

Google-Experten haben zusammen mit Wissenschaftlern der Universität New York und des International Computer Science Institute, den Markt und die Mechanismen hinter Programmen untersucht, die sich mit dem sogenannten Pay-per-install-Modell finanzieren. Ein wesentliches Ergebnis der zwölfmonatigen Untersuchungen ist, dass der Bereich, obwohl wesentlich weniger beachtet, drei Mal so große Auswirkungen auf die Nutzer hat wie die viel stärker diskutierte Malware: Der Studie zufolge finden pro Woche bis zu 60 Millionen Download-Versuche statt, was eine “bedeutende Gefahr” darstelle.

Als problematisch sehen die Autoren der Studie zum einen, dass das gesamte Segment sich zwar in einer Grauzone bewegt, aber in der Regel anders als Malware die Grenze zur Illegalität nicht überschreitet. Außerdem lassen sich auch sehr große und bekannte Firmen dafür bezahlen, dass sie mit ihren Produkten weitere vertreiben. Die Liste reicht von Adobe (das dabei derzeit mit Intel zusammenarbeitet) über Microsoft (bei Skype) bis zum Browser-Anbieter Opera.

Bislang lagen kaum Zahlen darüber vor, was damit zu verdienen ist. Dem aktuellen Bericht zufolge konnte ein, namentlich nicht genannten Pay-per-install-Verbreiter alleine 2014 Einnahmen in Höhe von 460 Millionen Dollar erwirtschaften. Bei Geschäftsmöglichkeiten in dieser Größenordnung darf aber damit gerechnet werden, dass genügend Ressourcen eingesetzt werden, um sie zu erhalten und sie regelmäßig anzupassen.

Adobe Flash Player Download (Screenshot: silicon.de)
Eine vergleichsweise harmlose Form des Pay-per-install praktiziert Adobe bei seinem Flash Player, wo seit geraumer Zeit diverse Intel-Software mitgeliefert wird, wenn Nutzer vor dem Download das Häkchen nicht entfernen. (Screenshot: silicon.de)

Der Bericht stellt daher auch fest, dass die Download-Bundle inzwischen ein hohes Maß an technischem Know-how bei ihren Anbietern belegen. Dazu gehört zum Beispiel, dass Nutzer automatisch mit dem “passenden” Paket für ihr Betriebssystem und ihren Browser beliefert werden. Dazu werden zwischen 5 und 50 unterschiedliche Pakete vorgehalten, um dann das jeweils für einen Rechner am besten passende auszuliefern.

Eine andere, regelmäßig angewandte Taktik ist es, eine Zeitverzögerung bis zur Aktivierung der nicht wirklich erwünschten Software einzubauen. Die kann bis zu 20 Tage betragen und sorgt dafür, dass Nutzer den Start des Zusatzprogramms nicht mehr mit dem Download der “kostenlosen” Software in Verbindung bringen, mit der sie ausgeliefert wurde. Manche der Programme prüfen vor ihrer Ausführung auch in der Registry, welches und ob ein Anti-Virus-Programm installiert ist und ob bereits zuvor eine Kopie von ihnen installiert wurde. Auch der regelmäßige Wechsel des Domain-Namens, um Blockiertechnologien auszutricksen, ist üblich.

Das funktioniert aus Sicht der Anbieter ganz gut. Zwar werden 59 Prozent der über die Pay-per-install-Netzwerke verbreiteten Software von Anti-Virus-Produkten als “unerwünscht”, eingestuft, damit liegt die Erfolgsrate aber immer noch bei über 40 Prozent – sofern die Systeme über ein Anti-Virus-Produkt verfügen.

Beispiel für eine Dialogbox, wie sie im Zusammenhang mit der Installation von Pay-per-Install verwendet wird. (Screenshot: Google)
Beispiel für eine Dialogbox, wie sie im Zusammenhang mit der Installation von Pay-per-Install verwendet wird. (Screenshot: Google)

Das Geschäft mit Pay-per-install wird im Wesentlichen von 15 Affiliate-Netzwerken dominiert, die zusammen rund 160 Software-Reihen anbieten. Auch die Preisstrukturen haben die Forscher aufgedeckt. Je nach Verteilernetzwerk und Region liegen die Kosten für eine Installation zwischen 0,06 Cent und 1,50 Dollar. Am günstigsten ist es, seine Software auf Rechner in Vietnam zu “schmuggeln”, am teuersten in den USA (1,50 Dollar) und mit deutlichem Abstand in Großbritannien (rund 80 Cent).

Vermeiden lässt sich die Auslieferung der unerwünschten Software vielfach durch etwas mehr Aufmerksamkeit beim Surfen. Genau das Bewusstsein dafür wollen die Forscher mit ihrer Untersuchung wecken beziehungsweise erhöhen. Außerdem weist Google darauf hin, dass es für Chrome seine Safe-Browsing-Funktion kontinuierlich aktualisiere, um solchen Downloads vorzubeugen. Außerdem bietet es für Chrome ein Cleanup Tool an, mit dem sich die auf herkömmlichem Wege oft nur schwer zu entfernenden Programme löschen lassen.

Da allerdings die meisten Verbreiter von Pay-per-install-Software zumindest irgendwann im Verlauf der Installation das Ein Verständnis des Nutzers abfragen, ist es für Sicherheitsanbieter nicht nur technisch, sondern auch rechtliche schwierig, dieses Vorgehen zu unterbinden. Das zeigt zum Beispiel in Deutschland der Rechtsstreit zwischen Avira und Freemium.com. Im vergangenen Jahr hatte Freemium.com, hinter dem die ProSiebenSat.1 Media AG steht, und über das eine Vielzahl an Spiele- und Downloadseiten sowie ein Downloadportal des Axel Springer Verlages gehostet werden, mit einer Unterlassungsaufforderung erreichen wollen, dass Aviras Antivirensoftware nicht mehr mit einer Sicherheitswarnung auf unbeabsichtigte Downloads bei Freemium hinweisen darf.

Der Anbieter begründete das Vorgehen gegen den Security-Spezialisten damit, dass dieser so in den Wettbewerb eingreife. Das Gericht sah das allerdings anders: Es erlaubte Avira mit seinem Antivirenprogramm auch weiterhin Kunden vor Toolbars und potenziell unerwünschten Downloads zu warnen, die von Freemium.com und anderen Downloadseiten im Paket mit gängigen Spielen ausgeliefert werden. Im Oktober 2015 klage dann im Gegenzug Avira gegen Freemium.com wegen Verbreitung von Adware.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.