Google hat 224 Anwendungen aus dem Play Store entfernt, die Teil einer umfangreichen Anzeigenbetrugs-Kampagne namens „SlopAds“ waren. Diese Apps wurden über 38 Millionen Mal heruntergeladen und generierten täglich bis zu 2,3 Milliarden betrügerische Werbeanfragen, wie Sicherheitsexperten von HUMAN aufdeckten.
Wichtige Erkenntnisse
- Google hat 224 Android-Apps entfernt, die für Anzeigenbetrug genutzt wurden.
- Die Kampagne „SlopAds“ generierte täglich 2,3 Milliarden betrügerische Werbeanfragen.
- Die betroffenen Apps wurden weltweit über 38 Millionen Mal installiert.
- Die Schadsoftware nutzte fortschrittliche Techniken, um ihre Aktivitäten zu verschleiern, darunter die Tarnung von Code in Bilddateien (Steganografie).
Aufdeckung der „SlopAds“-Kampagne
Die Operation wurde vom Satori Threat Intelligence Team des Sicherheitsunternehmens HUMAN aufgedeckt. Die Analyse zeigte, dass die Kampagne weltweit aktiv war und Nutzer in 228 Ländern betraf. Die Apps erzeugten eine enorme Menge an Datenverkehr, der allein 2,3 Milliarden Angebotsanfragen pro Tag ausmachte.
Die höchste Konzentration der betrügerischen Werbeeinblendungen wurde in den Vereinigten Staaten (30 %) verzeichnet, gefolgt von Indien (10 %) und Brasilien (7 %). Diese geografische Verteilung zeigt das globale Ausmaß der Operation.
Was ist Anzeigenbetrug?
Anzeigenbetrug (Ad Fraud) ist eine Praxis, bei der betrügerische Methoden eingesetzt werden, um Werbeeinnahmen zu generieren. Dies geschieht oft, indem Klicks oder Impressionen von Bots anstelle von echten Menschen erzeugt werden. Solche Aktivitäten schädigen Werbetreibende, die für nicht gesehene Anzeigen bezahlen, und verzerren die Wirksamkeit digitaler Werbung.
Tarnung und technische Raffinesse
Die Forscher nannten die Operation „SlopAds“, da die Apps den Anschein erweckten, massenhaft und möglicherweise mithilfe von KI-Tools produziert worden zu sein. Der Name spielt auch auf eine Sammlung von KI-thematisierten Anwendungen an, die auf den Servern der Angreifer gehostet wurden.
Die Betrüger setzten auf mehrere Ebenen der Verschleierung, um die Sicherheitsprüfungen von Google und Antivirenprogrammen zu umgehen. Die Apps verhielten sich unauffällig, wenn sie direkt aus dem Play Store installiert wurden. Ihre schädliche Natur wurde nur dann aktiviert, wenn ein Nutzer über eine der Werbeanzeigen der Angreifer auf die App gelangte.
Ablauf des Angriffs
Wurde die App über eine spezielle Werbekampagne installiert, nutzte sie den Dienst Firebase Remote Config, um eine verschlüsselte Konfigurationsdatei herunterzuladen. Diese Datei enthielt die Adressen für das eigentliche Schadprogramm, die Auszahlungsserver und weitere schädliche Komponenten.
Anschließend prüfte die Anwendung, ob sie auf einem echten Gerät eines Nutzers installiert war und nicht in einer Analyseumgebung von Sicherheitsforschern. Nur wenn diese Prüfungen erfolgreich waren, wurde der nächste Schritt eingeleitet.
Code in Bildern versteckt
Eine besonders raffinierte Methode war der Einsatz von Steganografie. Die App lud vier unscheinbare PNG-Bilddateien herunter. In diesen Bildern waren jedoch Teile eines schädlichen APK-Codes versteckt. Auf dem Gerät wurden diese Teile entschlüsselt und zu einer vollständigen Schadsoftware namens „FatModule“ zusammengesetzt.
Wie der Betrug funktionierte
Sobald das „FatModule“ aktiv war, startete es den eigentlichen Anzeigenbetrug. Es nutzte unsichtbare Web-Ansichten (WebViews), um im Hintergrund Informationen über das Gerät und den Browser zu sammeln. Anschließend navigierte es zu speziellen Betrugs-Domains, die von den Angreifern kontrolliert wurden.
Diese Domains imitierten legitime Spiele- oder Nachrichten-Websites. In den versteckten WebViews wurden ununterbrochen Anzeigen geschaltet, um betrügerische Impressionen und Klicks zu erzeugen. Auf diese Weise generierten die Angreifer Einnahmen in großem Umfang.
„Die Forscher nannten diese Operation 'SlopAds', weil die mit der Bedrohung verbundenen Apps den Anschein erwecken, massenhaft produziert worden zu sein, ähnlich wie 'KI-Slop'.“
Infrastruktur und Reaktion von Google
Die Infrastruktur der Kampagne war umfangreich. Laut HUMAN umfasste sie zahlreiche Kommando- und Kontrollserver sowie mehr als 300 zugehörige Werbe-Domains. Dies deutet darauf hin, dass die Akteure planten, die Operation über die bereits identifizierten 224 Apps hinaus auszuweiten.
Google hat schnell reagiert und alle bekannten „SlopAds“-Apps aus dem Play Store entfernt. Zusätzlich wurde der Schutzmechanismus Google Play Protect aktualisiert. Nutzer, die eine der betroffenen Apps noch auf ihrem Gerät haben, erhalten nun eine Warnung mit der Aufforderung, die Anwendung zu deinstallieren.
Ausblick und zukünftige Bedrohungen
Obwohl diese spezielle Kampagne gestoppt wurde, warnt HUMAN davor, dass die Bedrohung nicht gebannt ist. Die hohe technische Komplexität und die ausgeklügelten Verschleierungsmethoden deuten darauf hin, dass die verantwortlichen Akteure ihre Taktiken wahrscheinlich anpassen und mit neuen Kampagnen zurückkehren werden.
Für Nutzer bedeutet dies, dass Vorsicht bei der Installation von Apps weiterhin geboten ist. Es wird empfohlen, nur Anwendungen von bekannten und vertrauenswürdigen Entwicklern zu installieren und die Berechtigungen, die eine App anfordert, genau zu prüfen.
