Share on LinkedIn
Share on XWas passiert, wenn Utility-Apps zu Vollbild-Werbemachinen werden?
Das IAS Threat Lab hat ein globales Ad-Fraud-Schema – mit dem Codenamen „Mirage“ – aufgedeckt, das Nutzer in die Irre führen, App-Installationen künstlich aufblähen und das mobile Werbe-Ökosystem ausnutzen soll.
Das Schema
Das IAS Threat Lab hat eine groß angelegte, sich schnell weiterentwickelnde Ad-Fraud-Operation namens Mirage aufgedeckt – ein weit verzweigtes Netzwerk betrügerischer Android-Apps, die darauf ausgelegt sind, Nutzergeräte zu kapern und Werbeökosysteme in massivem Umfang auszunutzen.
Mirage-Apps tarnen sich als nützliche Tools wie Handy-Cleaner oder Akku-Booster. Auf den ersten Blick wirken sie harmlos. Doch im Hintergrund nutzen sie Cloaking-Techniken und bot-gesteuerte Installationen, um nach der Installation über bestimmte Referral-Links unauffällig aggressives Ad-Fraud-Verhalten zu aktivieren. Das Ergebnis: Vollbild-Interstitial-Anzeigen, die Nutzer kontextlos unterbrechen – während die Apps selbst keinerlei echten Nutzen bieten.
Die Threat-Lab-Forscher haben über 300 mit Mirage verbundene App-IDs identifiziert, die zusammen mehr als 70 Millionen Downloads verzeichneten und über 350 Millionen tägliche Bid Requests generierten. Diese Apps wurden mit nur einem Ziel entwickelt: ahnungslosen Nutzern durch aufdringliche, nicht-einvernehmliche Werbung Geld abzuknöpfen.
Mirage stellt eine bedenkliche Weiterentwicklung der Taktiken dar, die erstmals beim ebenfalls vom Threat Lab entdeckten Vapor-Schema beobachtet wurden. Anders als Vapor-Apps, die schrittweise Funktionen entfernten, sind Mirage-Apps von Beginn an irreführend – sie nutzen gefälschte Installationen, um in den App-Store-Rankings aufzusteigen, und schalten Monetarisierung erst dann frei, wenn echte Nutzer mit dem Herunterladen beginnen.
Die Zerschlagung
IAS arbeitete direkt mit Google zusammen, um schnell gegen die Mirage-Operation vorzugehen. Basierend auf den Threat-Lab-Analysen wurden alle identifizierten Mirage-Apps aus dem Google Play Store entfernt. Zudem warnt Google Play Protect die Nutzer aktiv und deaktiviert diese Apps automatisch – selbst dann, wenn sie außerhalb des Play Stores installiert wurden.
IAS überwacht die Aktivitäten von Mirage weiterhin, da die Betreiber rasch auf neu verpackte Apps, recycelte Entwicklerkonten und globale Verbreitung in Nordamerika, Europa und dem asiatisch-pazifischen Raum ausweichen.
Mehr erfahren?
Der vollständige Bericht enthält:
Eine detaillierte Analyse des App-Verhaltens und der Installationsmuster von Mirage
Die Taktiken, mit denen Betrug vor Store-Reviewern verschleiert wurde
Eine Fallstudie zu einer Mirage-App, die es in den USA auf Platz 1 schaffte
Einen Zeitstrahl der koordinierten Zerschlagung durch IAS und Google
