Großer Android-Werbebetrug aufgedeckt:
Milliarden Klicks auf Anzeigen

Ein großangelegter Betrugsversuch im Google Play Store ist aufgeflogen. Sicherheitsforscher haben eine Manipulations-Kampagne entdeckt, bei der eine Vielzahl von Apps fingierte Klicks auf Werbeanzeigen durchführten.

Klicks aus aller Welt

Insgesamt wurden bisher 224 verschiedene Anwendungen ausgemacht, die zu diesem Zweck mit versteckten Funktionen verbreitet wurden. Insgesamt wurden die schädlichen Anwendungen mehr als 38 Millionen Mal heruntergeladen. Die kriminelle Aktion, die den Namen SlopAds erhielt, war weltweit aktiv und erreichte Nutzer in quasi allen Ländern. Die betrügerischen Android-Apps sollen täglich rund 2,3 Milliarden fingierte Klicks auf Werbeanzeigen generiert haben.

Aufgedeckt wurde die Operation von der Sicherheitsfirma Human und ihrem Satori Threat Intelligence Team. Die Experten stellten fest, dass die Programme hochentwickelte Verschleierungstechniken nutzten, darunter Code-Verschleierung und Steganografie. Letztere ermöglichte es, schädliche Bestandteile unauffällig in Bilddateien zu verstecken, um so Googles Prüfprozesse und gängige Schutzsoftware zu umgehen.


Besonders betroffen war die USA, wo fast ein Drittel aller gefälschten Werbeaufrufe verzeichnet wurden. Auch Indien (10 Prozent) und Brasilien (7 Prozent) lagen weit vorne. Das Ziel der Angreifer: durch massenhaft gefälschte Anzeigenklicks hohe Werbeeinnahmen zu erzielen. Die breite Streuung sollte dafür sorgen, zu Verschleiern, dass diese nicht von echten Nutzern kamen.

Die Malware war so konzipiert, dass sie bei einer normalen Installation unauffällig blieb und die versprochene App-Funktionalität bot. Wurde die App jedoch über eine spezielle Werbekampagne installiert, lud sie aus dem Internet eine verschlüsselte Konfigurationsdatei nach. Diese enthielt Adressen zu weiteren Schadkomponenten. Anschließend prüfte die Software, ob sie auf einem echten Nutzergerät lief oder in einer Testumgebung von Forschern.

Raffinierte Malware

Bei erfolgreicher Prüfung, wurden mehrere Bilddateien heruntergeladen, die versteckt Teile eines Schadprogramms enthielten. Diese Einzelteile setzten sich auf dem Gerät zum sogenannten "FatModule" zusammen - einer Malware, die versteckte Browserfenster nutzte, um ununterbrochen Werbung aufzurufen und Klicks zu simulieren. Die gefälschten Anzeigen wurden über täuschend echt aussehende Domains ausgeliefert, die wie Nachrichten- oder Gaming-Seiten wirkten.

Nach Angaben der Sicherheitsforscher verfügte die Kampagne über mehr als 300 zusätzliche Domains sowie zahlreiche Steuerungsserver. Dies deute darauf hin, dass die Drahtzieher noch deutlich größere Ausmaße planten. Google hat die bekannten Apps inzwischen aus dem Play Store entfernt und Play Protect so aktualisiert, dass Nutzer gewarnt werden. Man geht jedoch davon aus, dass die Kriminellen ihre Methoden weiterentwickeln und künftig erneut versuchen werden, ähnliche Angriffe zu starten.


Siehe auch: