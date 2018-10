Mit Hilfe eines Netzwerks aus aufgekauften Android-Apps, Briefkastenfirmen und einem Botnetz sollen Kriminelle einen mindestens zweistelligen Millionenbetrag an Werbegeldern abgeschöpft haben. Wie die US-Website Buzzfeed aufgedeckt hat, haben offensichtlich Betrüger mit einer lang angelegten Kampagne populäre Apps genutzt, um Anbietern wie Google Werbeausspielungen vorzugaukeln und somit Werbegelder abzuschöpfen.

129 Apps und Websites

Das in dem Millionenbetrug eingesetzte Botnetzwerk "TechSnab" und die damit verknüpften Apps waren in den vergangenen Monaten bereits mehrfach aufgefallen, doch Buzzfeeds neue Recherchen machen das Ausmaß des Betrugs erstmals deutlich. Die Website identifizierte 129 Apps und Websites, die von einem dubiosen Firmengeflecht verwaltet und mit denen illegitime Anzeigenerlöse generiert worden sein sollen. Die Apps kamen demnach auf insgesamt 115 Millionen Installationen, allein der populäre Launcher EverythingMe auf über 20 Millionen.

Die Masche der Betrüger übersteigt bereits bekannte Betrugsoperationen wie dem vor einem Jahr bekannt gewordenen Hyphbot an Komplexität. Die Hintermänner haben ein Geflecht von Briefkastenfirmen angelegt, die Entwicklern von Android-Apps hohe Beträge boten, wenn sie die Eigentümerschaft einer ihnen unbekannten Firma übertrugen. Angesichts der hohen Beträge schoben Entwickler offenbar ihre Bedenken beiseite. Einige verweigerten mit Hinweis auf Geheimhaltungsklauseln jede Auskunft zu den Käufern ihrer Apps.

Nutzer zahlen mit ihren Daten

Nach dem ersten Verkauf wurden die Apps alsbald an andere Firmen mit Anschriften in Serbien, Zypern, Lettland, Bulgarien und Russland weitergereicht. In Updates wurden den Apps dann neue Funktionalität untergeschoben. Hierbei machten sich die Urheber Schwachstellen des programmatischen Werbehandels zu Nutze, bei dem Werbeschaltungen über automatisierte Auktionen im Millisekunden zustandekommen, bei dem aber kein einzelner Beteiligter einen Überblick darüber hat, wer genau welche Werbung wo einblendet.

Dem Sicherheitsdienstleister Pixalate fiel zum Beispiel im Juni das merkwürdige Verhalten der App Megacast auf, die an der Oberfläche dazu diente, beliebige Videos aus einem ChromeCast abzuspielen. Im Hintergrund jedoch gab sich die App gegenüber einem Werbenetzwerk jedoch als eine Reihe völlig anderer Apps aus, auf denen Werbetreibende Anzeigen buchen konnten.

Bots und Menschen gemischt

Um von den Werbeschaltungen profitieren zu können, nutzten die Hintermänner einen weiteren Trick: Auf die Apps wurde Traffic von Botnetzen geleitet, die sich dann als Nutzer identifizierten, die die gebuchte Werbung auf der App ansehen. Um die Sicherungen zu umgehen, die Werbenetzwerke gegen solche Bot-Attacken einsetzen, bedienten sich die Betrüger wieder bei den Apps.

Diese zeichneten das Verhalten ihrer ahnungslosen Nutzer bis ins kleinste Detail auf, um es später replizieren zu können. Mit dieser Methode werden Sicherheitsvorkehrungen der Werbenetzwerke gegen Botnetze umgangen. Tracking-Skripte versuchen nicht nur, Nutzer möglichst viel lukrative Werbung anzuzeigen, sondern sollen auch Werbenetzwerke vor eben solchen gefälschten Werbeabrufen schützen. Deshalb mischten die Urheber des Betrugsnetzwerks menschlichen und künstlich erzeugten Traffic, bis diese nicht mehr zu unterscheiden waren. Dank des Botnetzes kam der Datenverkehr scheinbar über IPs von Privatnutzern. Neben den Apps wurden offenbar auch gefälschte Video-Websites dazu genutzt, zusätzlich Werbegeld abzuschöpfen.

Google bestätigt

Google bestätigt die Betrugsoperation. Laut Schätzung des Konzerns liegt der Schaden im eigenen Werbenetzwerk unter zehn Millionen US-Dollar. Damit liegt Google weit unter den Schätzungen anderer Unternehmen – Pixelate bezifferte allein die Geschäfte mit Megacast auf 75 Millionen Dollar pro Jahr. Allerdings sind neben Google auch zahlreiche andere Werbenetzwerke von dem Betrug betroffen gewesen: In einer ersten Auswertung zählten die Betrugsexperten des Konzerns 88 verschiedene Werbemarktplätze.

Google hatte nach eigenen Angaben bereits vor Buzzfeeds Recherchen mit der Bekämpfung des betrügerischen Traffics begonnen. So entfernt mittlerweile das Google-eigene Chrome Cleanup Tool die Malware-Infektion von Rechnern, auf denen der Browser Chrome installiert ist. Durch die neuen Recherchen bekam Google neue Einblicke in das Netzwerk, deaktivierte weitere Apps und legte Accounts im Werbenetzwerk still.

Vier mögliche Hintermänner

In seinem Artikel identifiziert Buzzfeed vier mögliche Hintermänner für den groß angelegten Betrug: Zwei Deutsche mit Expertise im Servermanagement und zwei Israelis, die bereits vorher im Geschäft mit Adware aufgefallen waren. Von den Journalisten angesprochen dementierte jedoch einer von ihnen, aktiv an dem Geschäft beteiligt gewesen zu sein. Er selbst sei von einer unbekannten Firma hereingelegt worden. Gleichwohl wurden im Verlauf der Recherchen mehrere der von dem Netzwerk benutzten Websites deaktiviert. (Torsten Kleinz) / (anw)