Die von HUMANs Satori Threat Intelligence and Research Team dokumentierte Kampagne offenbart die Anatomie moderner Ad-Fraud-Operationen. Die Angreifer nutzen gezielt SEO-Poisoning-Techniken, um manipulierte Nachrichten in Googles Discovery-Feed einzuschleusen. Diese Artikel bestehen häufig aus KI-generiertem Text und sollen Nutzer dazu bringen, auf vermeintlich legitime News-Links zu klicken.
Wer auf einen dieser Links klickt, landet auf einer von den Betrügern kontrollierten Domain. Dort wird er systematisch dazu gedrängt, Push-Benachrichtigungen zu aktivieren – ein scheinbar harmloser Vorgang. Doch diese Benachrichtigungen sind das Herzstück des Betrugsschemas: Sie spammen Nutzer mit gefälschten Warnmeldungen zu, etwa vor angeblichen Sicherheitsverletzungen oder rechtlichen Problemen. Die Panik-getriebenen Nutzer klicken dann auf diese Benachrichtigungen und werden zu weiteren Seiten der Angreifer weitergeleitet.
Dort lauert das eigentliche Ziel der Operation: Werbeanzeigen. Jeder Klick auf diese Anzeigen generiert Werbeeinnahmen für die Betrüger – durch sogenannte “Bid Requests” an Werbenetzwerke. Mit 240 Millionen Bid Requests in nur sieben Tagen sprechen wir von erheblichen Einnahmen aus Betrug.
Die technische Raffinesse liegt auch in der Verteilung: 113 Domains ermöglichen es den Angreifern, ihre Aktivitäten zu streuen und damit Erkennungssysteme zu umgehen. Google hat bereits reagiert und Maßnahmen gegen das Spam-Problem eingeleitet.
Besonders besorgniserregend ist der Kontext dieser Entdeckung. Nur kurz zuvor identifizierte HUMAN eine noch deutlich größere Operation namens “Low5”. Diese umfasst über 3.000 Domains und 63 Android-Apps – möglicherweise eines der größten Ad-Fraud-Laundering-Netzwerke überhaupt. Low5 operierte auf bis zu 40 Millionen Geräten weltweit und generierte zeitweise etwa 2 Milliarden Bid Requests täglich. Die mit Low5 verbundenen Android-Apps wurden bereits aus dem Google Play Store entfernt, doch die darunter liegende Infrastruktur könnte erhalten bleiben.
Lindsay Kaye, Vice President of Threat Intelligence bei HUMAN Security, warnt vor der Wirksamkeit solcher Kampagnen: Push-Benachrichtigungen schaffen ein Gefühl der Dringlichkeit, das Nutzer zu schnellen Reaktionen verleitet. Dies macht sie zu idealen Werkzeugen für Malware-Verbreiter.
Die Gesamtentwicklung zeigt einen beunruhigenden Trend: Cyberkriminelle werden zunehmend sophistizierter darin, vertrauenswürdige Plattformen zu missbrauchen und KI-Technologie für Betrugszwecke einzusetzen. Deutsche Nutzer sollten daher skeptisch gegenüber unerwarteten Push-Benachrichtigungen sein und regelmäßig ihre Browser-Berechtigungen überprüfen.