Das gesamte Schema beruht darauf, ahnungslose Nutzer über Google Discover anzulocken und sie auf irreführende, mit KI-Inhalten gefüllte Nachrichtenartikel zu leiten. Landet ein Nutzer auf einer der von den Angreifern betriebenen Domains, wird er dazu gedrängt, Push-Benachrichtigungen zu aktivieren, über die anschließend gefälschte rechtliche Drohungen und Betrugsmaschen ausgespielt werden.

Klickt ein Nutzer auf eine dieser Scareware-Meldungen, wird er auf weitere Seiten der Angreifer umgeleitet. Dadurch entsteht organischer Datenverkehr zu den dort eingebetteten Werbeanzeigen, mit dem die Täter unrechtmäßige Einnahmen erzielen. Laut den Forschern Louisa Abel, Vikas Parthasarathy, João Santos und Adam Sell erzeugt die Operation auf diese Weise ungültigen organischen Datenverkehr von echten Mobilgeräten, indem Nutzer durch alarmierende Meldungen zum Abonnieren der Benachrichtigungen verleitet werden.

Gavin Reid, Chief Information Security Officer bei HUMAN, betont, dass die Erkenntnisse zeigen, wie Angreifer KI missbrauchen, um vertrauenswürdige Entdeckungsoberflächen zu kapern und sie in Verbreitungswege für Scareware, Deepfakes und Finanzbetrug zu verwandeln.

Push-Benachrichtigungen als Weiterleitungswerkzeug auf dubiose Seiten sind nicht neu. Im September 2025 beleuchtete Infoblox einen Akteur namens Vane Viper, der Push-Benachrichtigungen systematisch missbrauchte, um Werbung auszuliefern und Social-Engineering-Kampagnen im Stil von ClickFix zu ermöglichen. „Malware-basierte Bedrohungen mit Push-Benachrichtigungen – sowohl für Web- als auch für Mobilplattformen – sind keine neuartige Bedrohung, gerade wenn man bedenkt, wie sie ein Gefühl von Dringlichkeit erzeugen", sagte Lindsay Kaye, Vice President of Threat Intelligence bei HUMAN Security, gegenüber The Hacker News. Nutzer klickten oft schnell, um die Meldungen wegzubekommen oder mehr zu erfahren – was sie zu einem wirksamen Werkzeug im Arsenal eines Malware-Autors mache.

Die Veröffentlichung folgt gut einen Monat nach einer weiteren Aufdeckung von HUMAN: einer Sammlung von mehr als 3.000 Domains und 63 Android-Apps, die nach Angaben des Unternehmens einen der größten je entdeckten Marktplätze zur Geldwäsche aus Werbebetrug bildete. Unter dem Namen „Low5" – benannt nach der Nutzung von HTML5-basierten Spiele- und Nachrichtenseiten – diente die Operation dazu, die Domains als sogenannte Cashout-Seiten für ausgeklügelte Betrugsschemata zu monetarisieren, darunter BADBOX 2.0.

Auf dem Höhepunkt erreichte die Operation laut HUMAN rund zwei Milliarden Gebotsanfragen pro Tag und könnte auf bis zu 40 Millionen Geräten weltweit aktiv gewesen sein. Die zugehörigen Apps enthielten Code, der die Geräte der Nutzer anwies, eine der verknüpften Domains aufzurufen und dort auf Anzeigen zu klicken. Cashout-Seiten, auch Ghost Sites genannt, dienen inhaltsgetriebenem Betrug: Mit gefälschten Seiten und Apps verkaufen die Angreifer Werbeplätze an Inserenten, die annehmen, ihre Anzeigen würden von echten Menschen gesehen. Die betroffenen Android-Apps wurden aus dem Google Play Store entfernt.

Eine geteilte Monetarisierungsschicht über mehr als 3.000 Domains erlaube es laut HUMAN mehreren Akteuren, dieselbe Infrastruktur zu nutzen, was die Widerstandsfähigkeit erhöhe und die Zuordnung erschwere. Werde eine schädliche App oder ein Geräte-Netzwerk entfernt, könnten dieselben Cashout-Domains von anderen Akteuren weiterverwendet werden.