Eine Reihe von Android-Apps nutzt die Verlockung von kostenlosen Programmen, um ein neuartiges Werbe-Betrugs-Botnet zu verbreiten.
Den Opfern des Betrugs wird mitgeteilt, dass sie ein Gratisgeschenk erhalten, wenn sie eine App aus dem Google Play Store herunterladen. Das Einzige, was die Opfer erhalten, ist jedoch eine Malware-Infektion, die still und leise Anzeigen im Hintergrund auf ihr intelligentes Gerät lädt.
Die Anzeigenbetrugsoperation, die vom Satori Threat Intelligence & Research-Team von White Ops entdeckt wurde, das sie TERRACOTTA nannte, begann Ende 2019. Das Team fand heraus, dass bis Ende Juni 2020 mehr als 65.000 Geräte unwissentlich an dem Betrug beteiligt waren, über 5.000 Anwendungen gefälscht wurden und mehr als 2 Milliarden Angebotsanfragen generiert wurden.
„Was dies einzigartig macht, ist, dass die Betrüger in ihrem Wissen, wie man eine plausible Verifizierung von Werbebetrug durchführt, weit fortgeschritten waren“, sagte ein Sprecher des White Ops.
„Das bedeutet, dass die Anzeigen nie über den Google Play Store gemeldet wurden, weil sie nicht angezeigt wurden, und dass sich die Nutzer auch nicht darüber beschwerten, dass sie unerwünschte Anzeigen sahen. Stattdessen schlummerten sie, und das einzige ‚Gratisprodukt‘, das den Nutzern geliefert wurde, war eine Unmenge an Malware für Anzeigenbetrug.
Zu den als Köder verwendeten Gratisgeschenken gehörten Stiefel, Turnschuhe, Veranstaltungstickets, Gutscheine und teure Zahnbehandlungen. Der eigentliche Gegenstand, den die Opfer erhielten, war ein angepasster Android-Browser, der zusammen mit einem Steuermodul aus dem Entwicklungsframework React Native verpackt wurde.
Wenn der Browser auf das Telefon des Opfers geladen wird, erzeugt er betrügerische Werbeeinblendungen, die in das programmatische Werbe-Ökosystem verkauft werden, um Werbekunden zu betrügen.
Die Google Play Store-Bewertungen für die Apps begannen mit fünf Sternen, als die Opfer der Werbegeschenk-Idee zustimmten. Enttäuschte Opfer, die die versprochenen Werbegeschenke nicht erhielten, begaben sich jedoch bald in den Bewertungsabschnitt, um ihre Enttäuschung auszudrücken und ihren Verdacht mitzuteilen, dass die App, die sie heruntergeladen hatten, bösartig war.
Die Rezension eines Opfers lautete: „Schrecklich. Ich erhielt eine Bestätigung meiner kostenlosen Nike Air Jordans, erhielt aber nie eine Lieferung, eine Kontrollnummer oder irgendetwas anderes. Möglicherweise eine betrügerische Website, geben Sie keine persönlichen Daten an“.
Zu den 20 Apps, die von TERRACOTTA im Juli 2020 am häufigsten gefälscht wurden, gehörten luxury.art.effect.snapchat.videodownloader.com.blapp.videodownloader, softin.ny.women.fitness.miss.bikini und filter.selfie.camera.photo.stickers.