Die größten Klick- / Anzeigenbetrugsfälle 2016 - 2022

Der LeoTerra-Betrug wurde erstmals im Juli 2020 aufgedeckt, machte aber mit Beginn der Urlaubssaison 2021 erneut Schlagzeilen. Ähnlich wie bei RapidFire und ParrotTerra handelt es sich bei LeoTerra um einen SSAI-Betrug, bei dem die Betrüger gefälschte SSAI-Server einrichten und dann nicht existierendes CTV-Inventar über eine unbegrenzte Anzahl von Anwendungen, IP-Adressen und Geräten erstellen. In der Spitze täuschte LeoTerra bis zu 20,5 Millionen Connected TVs (CTVs) pro Tag vor – mehr als das Zwanzigfache des am Ende des vierten Quartals 2020 festgestellten Volumens.

Art des Betrugs: Gefälschte Werbeeinblendungen über gefälschte Apps, IP-Adressen und Geräte
Betroffene Geräte: Connected TVs (FTVs)
Schaden: Mehr als 20,5 Millionen gefälschte CTVs pro Tag

Quelle

CelloTerra wurde erstmals im März 2020 aufgedeckt, erlebte aber, ähnlich wie der LeoTerra-Anzeigenbetrug, in der Urlaubssaison 2021 ein Revival. Die Betrüger nutzten mobile Apps, um im Hintergrund Werbung zu schalten und so vorzugeben, dass es sich um einen Connected TV handelt. Auf dem Höhepunkt des Betrugs wurden täglich fast 2,4 Millionen CTV-Geräte manipuliert.

Art des Betrugs: Mobile Apps, die im Hintergrund Werbung ausspielen und sich als CTV-Geräte ausgeben
Betroffene Geräte: Mobile Apps und Connected TVs (CTVs)
Schaden: Vortäuschung von mehr als 2,4 Millionen CTVs pro Tag

Quelle

Der RapidFire-Anzeigenbetrug bestand aus einem fünfköpfigen Team ehemaliger Werbefachleute, die ein Werbenetzwerk mit dem Namen “HyperCast” betrieben und ein eingetragenes Gewerbeunternehmen in Nevada gründeten, das sich als scheinbar legitimes Unternehmen ausgab. Die Betrugsmasche selbst ähnelt stark dem ParrotTerra-Anzeigenbetrug: RapidFire nutzte die serverseitige Werbeeinblendung (SSAI), um Connected

Die GriftHorse-Malware wurde mit über 200 trojanisierten Android-Apps über den offiziellen Play Store von Google auf über 10 Millionen Android-Geräte übertragen. Sobald die bösartigen Apps auf dem Smartphone eines Opfers installiert waren, verschafften sie sich Zugang zu dessen Handynummer, die sie für Gewinnbenachrichtigungen nutzten, mit denen ahnungslose Opfer dazu verleitet wurden, Premium-SMS-Dienste mit hohen Gebühren von 30 Euro pro Monat zu abonnieren.

Art des Betrugs: Anmeldung von Opfern bei Premium-SMS-Diensten
Betroffene Geräte: Über 10 Millionen Android-Geräte aus über 70 Ländern
Schaden: Es wird geschätzt, dass der Gesamtbetrag, der gestohlen wurde, weit in die Hunderte von Millionen Euro gehen könnte.

TV-Inventar über zahlreiche Apps, IP-Adressen und Geräte zu fälschen. Die Betrüger verwendeten Automation Tools – ein einfaches Python-Skript – um Gebotsanfragen im JSON-Format über mehrere SSPs zu generieren und “Phantom-Anzeigenanfragen” zu erstellen. Das System wurde RapidFire genannt, weil der Begriff die Geschwindigkeit widerspiegelt, mit der dieser Vorgang an den Server gesendet werden kann.

Art des Betrugs: Gefälschte Werbeeinblendungen über gefälschte Apps, IP-Adressen und Geräte
Betroffene Geräte: Connected TVs (CTVs)
Schaden: Schätzungen zufolge kostet der Betrug die Werbetreibenden 20 Millionen Dollar pro Monat.

Quelle

Die GriftHorse-Malware wurde mit über 200 trojanisierten Android-Apps über den offiziellen Play Store von Google auf über 10 Millionen Android-Geräte übertragen. Sobald die bösartigen Apps auf dem Smartphone eines Opfers installiert waren, verschafften sie sich Zugang zu dessen Handynummer, die sie für Gewinnbenachrichtigungen nutzten, mit denen ahnungslose Opfer dazu verleitet wurden, Premium-SMS-Dienste mit hohen Gebühren von 30 Euro pro Monat zu abonnieren.

Art des Betrugs: Anmeldung von Opfern bei Premium-SMS-Diensten
Betroffene Geräte: Über 10 Millionen Android-Geräte aus über 70 Ländern
Schaden: Es wird geschätzt, dass der Gesamtbetrag, der gestohlen wurde, weit in die Hunderte von Millionen Euro gehen könnte.

Quelle 

SmokeScreen verbirgt seine bösartigen Absichten hinter einer harmlos aussehenden Bildschirmschoner-Anwendung, die einfach auf jedes Connected TV-Gerät heruntergeladen werden kann. Anschließend generiert es im Hintergrund einen konstanten Fluss von gefälschten Werbeeinblendungen, die für den Menschen nie sichtbar sind – selbst wenn der Bildschirm ausgeschaltet ist.

Art des Betrugs: Gefälschte Werbeeinblendungen
Betroffene Geräte: Connected TVs (CTVs)
Schaden: 6 Millionen Dollar pro Monat mit mehr als 300 Millionen Werbeaufrufen

Quelle

Zwischen November 2019 und April 2021 haben die sieben Varianten des OctoBot-Systems Milliarden von Werbeaufrufen und gefälschte Apps auf Millionen von Geräten erzeugt. Die Kriminellen brachten User dazu, betrügerische Apps auf ihren Geräten zu installieren, und begannen dann, nicht existierendes Connected-TV-Inventar an Käufer zu verkaufen. Doch anstatt die Werbung auszuführen, feuerten die Apps nur die Zählpixel der Werbung ab und erzeugten so betrügerische Werbeaufrufe, die gezählt wurden.

Art des Betrugs: Gefälschte Werbeeinblendungen
Betroffene Geräte: Connected TVs (CTVs)
Schaden: Milliarden von Werbeaufrufen mit über 5 Millionen Dollar pro Monat

Quelle | Bildquelle

Das Pareto-Botnetz war für durchschnittlich 650 Millionen Gebotsanfragen pro Tag verantwortlich und infizierte mehrere Geräte – unter anderem über 1 Million Android-Smartphones, Apple TVs, Amazon Fire TVs, LG Smart TVs und Google Chromecast-Player – über mehrere bösartige Apps, die in den offiziellen App-Stores erhältlich waren. Die Apps waren in der Lage, die Smartphones so zu manipulieren, dass sie wie ein Connected TV aussahen, und forderten dazu auf, alle 30 Sekunden eine Werbung anzuzeigen. Anstatt die Werbung zu schalten, riefen die Apps einfach die angegebenen APIs auf und gaben an, dass die Videowerbung gezeigt wurde.

Art des Betrugs: Gefälschte Werbeeinblendungen
Betroffene Geräte: Connected TVs (CTVs), Android
Schaden: Durchschnittlich 650 Millionen Werbeanfragen pro Tag

Quelle 1 | Quelle 2

Ab 2017 nutzten eGobbler und Nephos7 das JavaScript-Fingerprinting, um verschiedene Betriebssysteme wie iOS, Android, Windows und Mac OS X anzugreifen. Durch die Einbindung von Malware in Online-Werbung und die Nutzung kommerzieller Ad Server und CDNs (z. B. Cloudfront und Fastly) wartete der Schadcode darauf, auf den Geräten der Opfer aktiviert zu werden. Nach der Aktivierung erhielten die Opfer zunächst gefälschte Nachrichten von Amazon, ihrem Internetanbieter oder Mobilfunkanbieter, in denen sie aufgefordert wurden, ihre Kreditkartendaten einzugeben, um ihren nicht existierenden Gewinn zu bestätigen.
Anfang 2019 wurde den Opfern auch die Adware “Holcus Installer” präsentiert, indem die alte Masche “Flash Player ist veraltet – bitte aktualisieren” verwendet wurde. Über die Adware machten eGobbler und Nephos7 an bestimmten Tagen bis zu 6 % der gesamten Display-Werbung im Internet aus.

Art des Betrugs: Geschenkkartenbetrug, Betrug mit Anbieterkennzeichnung und Adware-Downloads
Betroffene Geräte: Windows, Mac OS X, Android
Schaden: Bis zu 6 % der gesamten Display-Werbung im Internet

Quelle

Unter Ausnutzung von Browser-Sicherheitslücken mit bösartigem Werbecode konnte ScamClub die Opfer auf Websites umleiten, auf denen ihnen verschiedene Geschenkkarten-Betrugsmaschen präsentiert wurden.

Art des Betrugs: Geschenkkarten-Betrug
Betroffene Geräte: Safari-Browser (macOS, iOS & iPadOS)
Schaden: 16 Millionen bösartige Anzeigen pro Tag ausgeliefert

Quelle

ParrotTerra nutzte die serverseitige Werbeeinblendung (SSAI), um gefälschtes CTV-Inventar über zahlreiche Apps, IPs und Geräte zu generieren und so 3,7 Millionen Geräte und 2,7 Millionen IP-Adressen pro Tag zu fälschen. Mit ParrotTerra richteten die Täter ein Netzwerk von Servern ein, die sich als SSAI ausgaben, indem sie Spoofs erstellten, die automatisierten Ad-Buying-Systemen vorgaukelten, sie würden mit echtem Video-Werbeinventar handeln, wobei Internetadressen, Haushaltsdaten, Geräte und Apps gefälscht wurden. Ein Käufer würde denken, dass er Werbefläche in einer beliebten Medien-App erhält, aber das war nicht der Fall. Auf diese Weise wurden Werbetreibende und Publisher um 30 bis 50 Millionen Dollar an Werbeausgaben betrogen.

Art des Betrugs: Gefälschte Werbeeinblendungen über gefälschte Apps und Geräte
Betroffene Geräte: 3,7 Millionen Connected TVs (FTVs)
Schaden: 30 bis 50 Millionen Dollar an Werbeausgaben

Quelle

Hinter mehreren Schichten von Fingerprinting, Hin- und Her-Dialog zwischen Client und Server sowie mehreren clientseitigen Fallen und Verschleierungen konnte Grinch seine Opfer zwangsweise auf Geschenkkarten- und Lotterie-Betrugsseiten umleiten. Dies geschah durch das Einfügen von bösartigem Code in die von Publishern ausgelieferten Anzeigen.

Art des Betrugs: Geschenkkarten- und Lotterie-Betrug
Betroffene Geräte: Mobile Geräte (iOS & Android)
Schaden: 25 Millionen Werbeeinblendungen

Quelle

StreamScam nutzte die serverseitige Ad Injection (SSAI)-Technologie, die nahtlos Werbung in Apps einfügt, die auf Roku, Amazon Fire TV, Apple TV und anderen Connected TV-Geräten angesehen werden. StreamScam erzeugte Traffic, der auf der Grundlage von 28,8 Millionen US-Haushalten gefälscht wurde, 3.600 Apps täuschte und sich als 3.400 verschiedene Gerätetypen ausgab. Schätzungen zufolge wurden durch den Betrug 14,5 Millionen Dollar an Werbebudget vergeudet.

Art des Betrugs: Generierung von Werbeeinblendungen durch gefälschte Apps und Geräte
Betroffene Geräte: Connected TVs (CTVs)
Schaden: 14,5 Millionen Dollar an verschwendeten Werbegeldern

Source

Adrozek war eine Malware, die auf alle wichtigen Windows-Browser abzielte und täglich mehr als 30.000 Geräte kontrollierte, wobei weltweit insgesamt Hunderttausende von Geräten infiziert waren. Die User installierten die Malware ungewollt durch Drive-by-Downloads, den Besuch einer manipulierten Website oder das Öffnen eines E-Mail-Anhangs. Die Malware fügte Browser-Erweiterungen hinzu, änderte die Browser-Einstellungen, um nicht autorisierte Werbung in Webseiten einzufügen, und stahl sogar Anmeldedaten.

Art des Betrugs: Malware, die gefälschte Werbung in Webseiten einfügt
Betroffene Geräte: Browser unter Windows
Schaden: Über 200.000 infizierte Geräte

Quelle

Der Weasel-Betrug deckte die betrügerischen Handlungen eines Unternehmens namens Wease.IM auf, das sekundäre Auktionen innerhalb von Display-Anzeigenblöcken über PreBid.JS durchführte. Sie entwickelten einen benutzerdefinierten Code, um PreBid.js-Anfragen zu verändern und den Standort des iframe zu verschleiern, um die wahre Identität der App zu verbergen. Bei Wease handelte es sich um eine Windows-Desktop-Anwendung, die nur über den offiziellen Microsoft Windows Store erhältlich war und als datenschutzfreundlicher Messenger getarnt wurde.

Art des Betrugs: Ändern von PreBid.js-Anfragen
Betroffene Geräte: Windows 10
Schaden: Unbekannt

Quelle

MultiTerra war eine der vielen Komponenten, aus denen der OctoBot-Betrug bestand, der Anfang 2021 entdeckt wurde. Aufgrund der hohen Werbeeinnahmen waren vor allem Connected TVs (CTVs) das Ziel. MultiTerra täuschte verschiedene IP-Adressen und Geräte vor, ohne jemals einem Menschen eine einzige Anzeige zu präsentieren. Das Botnet generierte bis zu 3 Millionen gefälschte Werbeanfragen pro Tag.

Art des Betrugs: Gefälschte Werbeeinblendungen
Betroffene Geräte: Connected TVs (CTVs)
Schaden: 1 Million Dollar pro Monat

Quelle

Terracotta lud Apps in den Google Play Store hoch, die den Usern kostenlose Vergünstigungen wie Turnschuhe und Gutscheine versprachen, wenn sie die Anwendungen auf ihren Geräten installierten. Die Apps luden eine modifizierte Version von WebView – einer abgespeckten Version von Google Chrome – herunter und führten sie im Hintergrund aus. Anschließend wurde der modifizierte WebView-Browser vor den Augen des Users versteckt gestartet und Anzeigenbetrug betrieben, indem Werbung geladen und Einnahmen aus gefälschten Werbeeinblendungen erzielt wurden. Terracotta führte zu bis zu 2 Milliarden gefälschten Werbeeinblendungen von über 65.000 infizierten Smartphones pro Woche.

Art des Betrugs: Gefälschte Werbeeinblendungen
Betroffene Geräte: Android-Smartphones
Schaden: 2 Milliarden Werbeeinblendungen pro Woche

Quelle

Die Chartreuseblur-Malware wurde in 29 Apps gefunden, die insgesamt über 3,5 Millionen Mal aus dem Google Play Store heruntergeladen wurden. Die Apps des Betrugsnetzwerks, bei denen es sich größtenteils um Foto-Tools handelte, luden im Hintergrund Schadcode, der dazu diente, Anzeigen auszuliefern und gefälschte Webseiten im Browser aufzurufen. Die Werbung wurde angezeigt, wenn das Telefon entsperrt war oder während es aufgeladen wurde. Die Opfer konnten die Apps nicht entfernen oder im Hintergrund schließen, da die Anwendungen ihre Symbole vom Startbildschirm und vom Launcher entfernten.

Art des Betrugs: Gefälschte Werbeeinblendungen
Betroffene Geräte: Android-Smartphones
Schaden: Über 3,5 Millionen betrügerische App-Installationen

Quelle

Der Schadcode AndroidOS_HiddenAd.HRXJA wurde in über 50 Barcode-Scanner-Apps aus dem offiziellen Google Play Store gefunden. Insgesamt wurden die infizierten Apps mehr als 1 Million Mal heruntergeladen und generierten Werbeeinblendungen im Hintergrund, auch wenn das Display ausgeschaltet war.

Art des Betrugs: Gefälschte Werbeeinblendungen
Betroffene Geräte: Android-Smartphones
Schaden: Über 1 Million App-Installationen

Quelle

Der “Beauty and the Beast”-Betrug ist nach dem Fokus seiner bösartigen Apps auf das Thema Schönheit benannt. Die meisten von ihnen geben vor, Selfie-Apps zu sein, die Bilder mit Schönheitsfiltern versehen, während sie Werbung außerhalb des Kontextes anzeigen und es fast unmöglich machen, die Apps selbst zu entfernen, indem sie das App-Symbol auf dem Startbildschirm und im App-Launcher ausblenden. Insgesamt wurden 38 Apps mit der Masche in Verbindung gebracht, die Werbung aus dem Zusammenhang gerissen im Hintergrund einblendeten und die User auf verschiedene URLs umleiteten.

Art des Betrugs: Gefälschte Werbeeinblendungen
Betroffene Geräte: Android-Smartphones
Schaden: Über 20 Millionen betrügerische App-Installationen

Quelle

Die Tekya-Malware verschleiert den nativen Code, um eine Erkennung durch Google Play Protect zu vermeiden, und nutzt den “MotionEvent”-Mechanismus in Android, um die Aktionen des Users zu imitieren, damit er auf Anzeigen und Banner klickt. Die Malware wurde in 24 Kinderspielen und 32 Apps für Dienstprogramme gefunden. Die Anwendungen wurden zwar schnell aus dem Google Play Store entfernt, insgesamt aber bereits über 1 Million Mal heruntergeladen.

Art des Betrugs: Gefälschte Werbeklicks
Betroffene Geräte: Android-Smartphones
Schaden: Über 1 Million betrügerische App-Installationen

Quelle

Facebook hat das Unternehmen LeadCloak verklagt und behauptet, es habe Betrügern geholfen, irreführende Anzeigen auf seiner Plattform und auf Instagram zu schalten, indem es ihnen eine “Cloaking”-Software verkaufte. Die Software täuschte das Anzeigenüberprüfungssystem, indem sie ihm eine harmlose Website anzeigte, während echte User eine völlig andere Website sahen, die gegen die Richtlinien von Facebook verstieß. Die Software wurde von Betrügern im Zusammenhang mit dem Coronavirus, Kryptowährungen, Arzneimitteln und gefälschten Nachrichtenseiten verwendet, um die Newsfeeds der User zu überfluten.

Art des Betrugs: Täuschung
Betroffene User: Facebook User
Schaden: Unbekannt

Quelle

Der Icebucket-Betrug war der größte Fall von Server-seitiger Ad Injection (SSAI) Spoofing, welcher zu Beginn des Jahres 2020 aufgedeckt wurde. Auf seinem Höhepunkt gab sich das Botnet als mehr als 2 Millionen Menschen in über 30 Ländern aus und war für rund 1,9 Milliarden Werbeanfragen – oder 28 % der gesamten CTV-Werbeeinblendungen – pro Tag verantwortlich. Es täuschte vor allem Connected TVs, aber auch einige Android-Smartphones vor und rief die Reporting-APIs auf, die angeben, dass die Werbung gezeigt wurde.

Art des Betrugs: Gefälschte Werbeeinblendungen
Betroffene Geräte: Connected TVs (CTVs / Roku, Samsung Tizen Smart TV, Google TV) und Android
Schaden: 28 % der gesamten CTV-Werbeeinblendungen pro Tag

Quelle 1 | Quelle 2 | Bildquelle

Monarch gaukelte Werbetreibenden vor, dass sie Videowerbung auf Roku Connected TV-Geräten (CTV) kauften, aber stattdessen erschien die Werbung auf passiven Apps, wie Bildschirmschonern, virtuellen Aquarien und Kaminen. Die Betrüger infiltrierten einige der beliebtesten Apps im Roku Channel Store und umgingen das Verbot von Roku, Anzeigen in Apps wie Bildschirmschonern zu schalten, da die Apps stattdessen als „Special Interest“ eingestuft wurden. Die ausgenutzten Apps nutzten alle Monarch Ads, eine Tochtergesellschaft von Barons Media, als Plattform zur Monetarisierung des Inventars.

Art des Betrugs: Ausgenutzte Apps zum passiven Betrachten
Betroffene Geräte: Connected TVs von Roku
Schaden: Anwendungen, die zu den 4 % der beliebtesten Apps im Roku Channel Store gehören

Quelle

Das 404bot-System war zwischen 2018 und 2020 aktiv und generierte mehr als 15 Millionen US-Dollar an Werbekosten aus 1,5 Milliarden Videoanzeigen. Der Betrug erfolgte durch „Domain-Spoofing“ – das Imitieren der Webseite eines Publishers – und das Ausnutzen der Tatsache, dass Käufer die ads.txt-Datei nicht immer ausgiebig überprüfen. Die Betrugsmasche generierte gefälschte Browserdaten und gefälschte URLs, um Medienausgaben zu stehlen.

Art des Betrugs: Domain-Spoofing
Betroffene Geräte: Alle Geräte
Schaden: 15 Millionen Dollar aus 1,5 Milliarden Videoanzeigen

Quelle

Die Apps der chinesischen Unternehmen Cheetah Mobile und Kika Tech wurden aus dem Google Play Store entfernt, nachdem eine Untersuchung ergeben hatte, dass sie “Click Flooding” und “Click Injection” praktizieren. Bei der Click-Injection lauschten die Apps darauf, wann ein User eine neue App über den Google Play Store herunterlud. Sobald ein neuer Download erkannt wurde, suchten die Apps nach aktiven Installationsprämien für die betreffende App und schickten Klicks ab, die die relevanten Informationen zur App-Attribution enthielten, um sicherzustellen, dass Cheetah und Kika die Prämie gewannen – obwohl sie nichts mit dem Download der App zu tun hatten. Die entfernten Apps waren sehr beliebt und wurden im Play Store von Google insgesamt über 2 Milliarden Mal heruntergeladen.

Art des Betrugs: Click Flooding und Click Injection
Betroffene Geräte: Android
Schaden: Betrügerische Apps mit über 2 Milliarden Downloads

Quelle

Die Haken-Malware täuschte User-Klicks auf Anzeigen vor und nutzte nativen Code und Injektionen in Facebook- und AdMob-Bibliotheken, während sie mit einem Remote-Server kommunizierte, um die Konfiguration zu erhalten. Einige Apps enthielten auch die Joker-Malware, die Opfer in einer versteckten WebView für Premium-Dienste anmeldete, indem sie Zugriff auf den Benachrichtigungslistener und die Erlaubnis zum Senden von SMS erhielt.

Art des Betrugs: Gefälschte Klicks auf Werbung und versteckte Abonnements
Betroffene Geräte: Android-Smartphones
Schaden: Die betrügerischen Apps wurden über 50.000 Mal heruntergeladen

Quelle

Beim DiCaprio-Betrug kauften die Betrüger reguläre Bannerwerbung in der Android-App von Grindr und fügten dann bösartigen Code hinzu, der die Grindr-Bannerwerbung so tarnte, dass sie wie ein Roku-Video-Anzeigenplatz aussah. Der billige Werbebannerplatz wurde auf programmatischen Werbebörsen genutzt, um teurere Videoanzeigen weiterzuverkaufen.

Art des Betrugs: Täuschung von Werbebannern für Videoanzeigen
Betroffene Geräte: Grindr Android App
Schaden: Mehr als 10 Millionen Downloads für die Grindr App

Quelle

Die BBC hat aufgedeckt, wie mit Fake News-Websites über 100.000 Dollar pro Monat verdient werden, indem Bot-Traffic zum Anklicken von Anzeigen genutzt wird. Webdesigner erstellen Websites, verwenden kopierte Inhalte von echten Nachrichtenpublikationen und schicken Bot-Traffic zu ihnen, damit diese auf Anzeigen klicken. Jedes Jahr gehen der Werbeindustrie durch diese gefälschten Nachrichten-Websites mehrere Millionen Dollar verloren.

Art des Betrugs: Gefälschte Websites mit Bot Traffic
Betroffene Geräte: Alle Geräte
Schaden: Über 100.000 Dollar pro Monat und gefälschter Website

Quelle

Google hat 49 Apps des chinesischen Entwicklers iHandy aus dem Play Store entfernt, weil sie gegen die Google-Richtlinien für irreführende oder störende Werbung verstoßen haben. Es ist unklar, welche Art von bösartiger Werbeaktivität in den Apps entdeckt wurde, aber die Entfernung erfolgte etwa zur gleichen Zeit wie die Entfernung der ersten Apps von Cheetah Mobile und Kika Tech, die Ad Injection und Click Flooding einsetzten.

Art des Betrugs: Täuschende oder störende Werbung
Betroffene Geräte: Android
Schaden: Mehr als 100 Millionen Downloads für alle iHandy-Apps insgesamt

Google hat 49 Apps des chinesischen Entwicklers iHandy aus dem Play Store entfernt, weil sie gegen die Google-Richtlinien für irreführende oder störende Werbung verstoßen haben. Es ist unklar, welche Art von bösartiger Werbeaktivität in den Apps entdeckt wurde, aber die Entfernung erfolgte etwa zur gleichen Zeit wie die Entfernung der ersten Apps von Cheetah Mobile und Kika Tech, die Ad Injection und Click Flooding einsetzten.

Art des Betrugs: Täuschende oder störende Werbung
Betroffene Geräte: Android
Schaden: Mehr als 100 Millionen Downloads für alle iHandy-Apps insgesamt

Quelle

Zwei gefälschte Adblocker-Apps – nämlich AdBlock von AdBlock Inc. und uBlock von Charlie Lee – wurden wegen “Cookie-Stuffing” aus dem Google Chrome Web Store entfernt. Bei diesem Betrugsversuch setzten beide Apps Affiliate-Cookies für verschiedene Online-Dienste ab, ohne dass der User dies bemerkte.

Art des Betrugs: Cookie-Stuffing
Betroffene Geräte: Google Chrome-Browser
Schaden: Mehr als 1,6 Millionen wöchentlich aktive User für beide Apps

Quelle

Facebook hat zwei App-Entwickler (LionMobi und Jedimobi) verklagt und ihnen vorgeworfen, dass sie in betrügerischer Absicht die Mobiltelefone ihrer Opfer mit Malware gekapert haben, die in beträchtlichem Umfang auf Anzeigen des Facebook-Werbesystems in ihren Apps klickten. Die Apps wurden über den Google Play Store vertrieben und insgesamt mehr als 100 Millionen Mal heruntergeladen und zielten auf Android-Smartphones ab.

Art des Betrugs: Gefälschte Klicks auf Anzeigen
Betroffene Geräte: Android
Schaden: Über 100 Millionen Downloads von bösartigen Apps

Quelle 1 | Quelle 2

Mehr als 60 Apps des chinesischen App-Entwicklers CooTek wurden aus dem Google Play Store entfernt, weil sie gegen die Richtlinien für bösartiges und irreführendes Verhalten sowie für störende Werbung verstoßen. Die Apps enthielten ein Adware-Plugin – BeiTaAd -, das störende Werbung auslöste, wenn das Smartphone im Ruhezustand oder gesperrt war oder die CooTek-Apps nicht verwendet wurden. Darüber hinaus konnten die User keine Anrufe entgegennehmen oder mit anderen Apps interagieren, was die Smartphones nahezu unbrauchbar machte.

Art des Betrugs: Böswilliges und irreführendes Werbeverhalten und störende Werbung
Betroffene Geräte: Android-Smartphones
Schaden: Mehr als 440 Millionen Downloads für CooTek-Apps

Quelle

VidMate, eine Android-App, mit der User Videos von YouTube, Vimeo und anderen Videoplattformen herunterladen können, hat versteckte Werbung eingeblendet, gefälschte Klicks und Käufe generiert und andere verdächtige Apps ohne Zustimmung des Users installiert. Die App selbst wurde mehr als 500 Millionen Mal heruntergeladen und war in Ländern wie Indien und Brasilien sehr beliebt. Allein die blockierten Transaktionen könnten die User mehr als 150 Millionen Dollar an ungewollten und nicht genehmigten Mobilfunkabonnements gekostet haben.

Art des Betrugs: Einblenden versteckter Werbung, Generierung gefälschter Anzeigen und Installation anderer verdächtiger Apps
Betroffene Geräte: Android-Smartphones
Schaden: Mehr als 500 Millionen Downloads für VidMate-App

Quelle

Sechs Apps des chinesischen App-Entwicklers DO Global mit mehr als 90 Millionen Installationen im Google Play Store wiesen verschiedene Arten von Anzeigenbetrug auf, darunter gefälschte Klicks und Attributionsbetrug.

Art des Betrugs: Gefälschte Klicks und Attributionsbetrug
Betroffene Geräte: Android
Schaden: Mehr als 90 Millionen Downloads für DO Global Apps

Quelle

Die MoPub-Anzeigenplattform von Twitter wurde im Rahmen eines Anzeigenbetrugs missbraucht, bei dem Betrüger billige Anzeigenplätze in verschiedenen Apps kauften und die Anzeigenplätze für teurere, automatisch abspielende Videoanzeigen weiterverkauften. Die Videoanzeigen wurden den Usern natürlich nie gezeigt, und ein Banner-Anzeigenplatz wurde mit mehreren Videoanzeigen vollgestopft, was den Akku und die mobilen Daten des Users belastete.

Art des Betrugs: Fälschen von Banner-Anzeigenplätzen für Videoanzeigen
Betroffene Geräte: Apps mit Anzeigen von Twitters MoPub-Anzeigenplattform
Schaden: Mindestens 60 Millionen Werbeaufrufe pro Monat

Quelle | Bildquelle

Die 3ve-Operation war eine der größten je dagewesenen Betrugsaktionen im Bereich der Werbung. Das Botnetz infizierte mindestens 1,7 Millionen Computer, fälschte über 10.000 Websites und generierte zwischen 3 und 12 Milliarden Werbeanfragen pro Tag. Das ausgeklügelte System nutzte verschiedene Techniken wie die Infizierung der Computer der Opfer, die Fernsteuerung versteckter Browser und den Diebstahl von IP-Adressen von Unternehmen. Mit den versteckten Browsern war 3ve in der Lage, gefälschte Klicks auf Anzeigen auf seinen gefälschten Websites zu generieren und Werbeeinnahmen von etwa 60.000 digitalen Werbekonten zu erzielen. Das Ausmaß der Operation war enorm und führte sogar zu einer FBI-Untersuchung.

Art des Betrugs: Gefälschte Klicks auf Anzeigen
Betroffene Geräte: Sowohl Desktop- als auch Mobilgeräte
Schaden: Über 30 Millionen Dollar an gefälschten Anzeigen

Quelle

Das Unternehmen „We Purchase Apps“ hat sich auf den Erwerb von halbwegs beliebten Android-Apps spezialisiert, die von echten menschlichen Usern genutzt werden. Nach dem Kauf untersuchten die Betrüger dann das Verhalten der User der Apps und erstellten Bots, die die Handlungsmuster nachahmten. Diese Bots wurden dann dazu verwendet, innerhalb der jeweiligen Apps Fake Traffic zu generieren, was wiederum zu zusätzlichen Werbeeinnahmen führte. Das Unternehmen war mit seinen Akquisitionen – einschließlich der beliebten App EverythingMe – recht erfolgreich und verzeichnete insgesamt über 115 Millionen App-Downloads.

Art des Betrugs: Gefälschter Traffic und Klicks auf Werbung
Betroffene Geräte: Halbpopuläre Android-Apps
Schaden: Über 115 Millionen App-Downloads

Quelle

Die Bemühungen von Facebook, seine Fake-Accounts zu säubern, führten zur Löschung von mehr als 1,3 Milliarden Fake-Accounts, die mit der Absicht erstellt wurden, Spam zu verbreiten oder illegale Aktivitäten wie Betrug durchzuführen. Von den verbleibenden Konten sind wahrscheinlich zwischen 3 und 4 Prozent (66 – 88 Millionen) gefälscht.

Art des Betrugs: Fake-Accounts zum Verbreiten von Spam oder zur Durchführung illegaler Aktivitäten
Betroffene Geräte: Facebook User
Schaden: Über 1,3 Milliarden gefälschte Facebook-Accounts

Quelle

Die Adware Zacinlo lief seit Anfang 2012 im Verborgenen und infizierte vor allem Windows 10-Geräte. Als Rootkit-basierte Spyware schützte sie sich und ihre anderen Komponenten sehr gut auch vor Antiviren-Software. Die Malware führte unter anderem betrügerische Browser-Weiterleitungen durch, erzeugte gefälschte Klicks auf Online-Anzeigen in versteckten Fenstern und tauschte auch Anzeigen, die auf natürliche Weise im Browser des Opfers geladen wurden, mit den Anzeigen der Angreifer aus, damit diese die Werbeeinnahmen kassieren konnten. Zacinlo wurde als gefälschtes VPN namens “s5mark” getarnt heruntergeladen.

Art des Betrugs: Gefälschte Klicks auf Werbung in versteckten Browserfenstern
Betroffene Geräte: Windows 10
Schaden: Unbekannt

Quelle

Fünf gefälschte Adblocker-Browsererweiterungen wurden über 20 Millionen Mal über den Chrome Web Store von Google heruntergeladen. Die Erweiterungen sendeten Informationen über das Browserverhalten des Opfers an den Server des Angreifers zurück. Die Erweiterungen selbst enthielten zwar nur harmlosen Schadcode, aber durch die Verbindung zum Command & Control Remote Server des Angreifers hätte dieser jederzeit geändert und für betrügerische Techniken wie Cookie-Stuffing genutzt werden können.

Art des Betrugs: Mögliches Cookie-Stuffing
Betroffene Geräte: Chrome-Browser
Schaden: Über 20 Millionen Downloads von Erweiterungen

Quelle

In dem Bemühen, seine User-Basis zu bereinigen und automatisierte Tweets und Retweets zu reduzieren, hat Twitter mehrere Accounts mit insgesamt über 3 Millionen Followern von seiner Plattform entfernt, weil sie gegen die Spam-Richtlinien von Twitter verstoßen haben. Die Konten waren dafür berüchtigt, dass sie die Beiträge anderer massenhaft retweeteten und künstlich virale Tweets erzeugten.

Art des Betrugs: Künstliches Erzeugen viraler Tweets durch Massen-Retweeting
Betroffene Geräte: Twitter User
Schaden: Gelöschte Konten mit mehr als 3 Millionen Followern

Quelle

Mit seinen 316 Varianten infizierte RottenSys seit 2016 über 5 Millionen Android-Geräte. Die Adware war als Wi-Fi-Sicherheits-App getarnt und lud nach der Installation weitere Komponenten herunter. Sie war in der Lage, Werbung auf dem Startbildschirm des Geräts anzuzeigen, und durch den Missbrauch von MarsDaemon konnte RottenSys sicherstellen, dass sein Betrieb auch dann fortgesetzt wird, wenn sein Prozess zwangsweise gestoppt wurde.

Art des Betrugs: Gefälschter Traffic und Klicks auf Anzeigen
Betroffene Geräte: Android-Smartphones
Schaden: 350.000 Dollar pro Monat

Quelle

Auf mehreren Websites des Publishers Newsweek Media Group wurde bösartiger Code entdeckt, der darauf abzielte, die Messsysteme von Drittanbietern zu stören, um festzustellen, wie viel von einer digitalen Anzeige während einer Browsing-Sitzung zu sehen war. Dieser Betrug umfasste keine Bots oder gefälschte Klicks auf Anzeigen, aber der Publisher wollte Einnahmen aus Anzeigen erzielen, die zwar auf den Webseiten, aber nicht im sichtbaren Bereich des Users platziert waren.

Art des Betrugs: Bösartiger Code zum Tracken von Anzeigenaufrufen, die sich nicht im Sichtbereich des Users befanden
Betroffene Geräte: Alle Geräte
Schaden: Unbekannt

Quelle

Lotame, eine Plattform für den Austausch von Drittanbieter-Daten, löschte 400 Millionen Profile, nachdem sie als Bots oder andere betrügerische Konten identifiziert worden waren. Andy Monfriend, CEO von Lotame, schätzt, dass 40 % des gesamten Traffics im Internet gefälscht ist.

Art des Betrugs: Bots, die als echte Menschen getarnt sind
Betroffene Geräte: Alle Geräte
Schaden: Über 400 Millionen Bot-Konten

Quelle

Zwischen 2017 und 2018 erstellte und betrieb die Zirconium-Gruppe rund 30 gefälschte Werbeagenturen, um Malvertising-Kampagnen zu verbreiten, die schätzungsweise 1 Milliarde Ad Impressions lieferten und Beziehungen zu 16 Werbeplattformen aufbauten. Die von Zirconium eingesetzten Betrugsmethoden waren unter anderem automatische Weiterleitungen und Fingerprinting, die die Opfer zu verschiedenen Betrügereien wie gefälschter Antivirensoftware und Flash Player-Updates führten. Sie kauften Traffic von legitimen Werbeplattformen und verkauften ihn an Affiliate-Marketing-Plattformen weiter.

Art des Betrugs: Automatische Weiterleitungen und verschiedene Betrügereien
Betroffene Geräte: Alle Geräte
Schaden: 1 Milliarde Werbeeinblendungen

Quelle

Anfang 2018 explodierte das System der versteckten automatischen Weiterleitungen und machte 48 % aller Malvertising-Aktivitäten aus, wodurch Werbetreibende über 1 Milliarde US-Dollar verloren. Die Weiterleitungen öffneten unsichtbare iFrames und führten automatisch zum Anklicken von Anzeigen. 72 % der Auto-Redirect-Angriffe zielten auf mobile Geräte ab.

Art des Betrugs: Versteckte automatische Weiterleitungen und gefälschte Werbeeinblendungen
Betroffene Geräte: Alle Geräte
Schaden: 1,13 Milliarden Dollar pro Jahr

Quelle

Vier Chrome-Erweiterungen mit über 500.000 Downloads wurden entdeckt, die Teil eines Klick-Betrugsschemas waren. Die Erweiterungen enthielten bösartigen Code, der es den Angreifern ermöglichte, über den Browser des Opfers Proxy-Browsing zu betreiben.

Art des Betrugs: Gefälschte Klicks auf Anzeigen
Betroffene Geräte: Google Chrome
Schaden: 350.000 Dollar pro Monat

Quelle

Die Nachrichtenseite Ozy.com kaufte billigen Traffic für gesponserte Beiträge von mehreren ihrer Partner, darunter JPMorgan Chase, Amazon, VISA und KFC, nur um herauszufinden, dass der Traffic nicht von echten Menschen, sondern von Bots stammte. Das System lud automatisch bestimmte Webseiten und leitete den Traffic zwischen den teilnehmenden Websites um, um schnell viele Werbeeinblendungen und Aufrufe gesponserter Inhalte zu erhalten.

Art des Betrugs: Gefälschte Werbeeinblendungen und Aufrufe gesponserter Inhalte
Betroffene Geräte: Alle Geräte
Schaden: Rund 2 Millionen gefälschte Besuche

Quelle

Wie viele andere Betrugsfälle begann auch dieser auf Pornoseiten. Er öffnete versteckte Pop-up-Fenster hinter dem Haupt-Browser-Tab des Opfers, sobald der User irgendwo auf der Seite klickte, und startete in zeitlich festgelegten Intervallen eine Weiterleitungskette zu zahlreichen anderen Websites, die Ansichten und Werbeeinblendungen anhäuften. Die Menge an Fake Traffic, die durch dieses System erzeugt wurde, ist erstaunlich und lag weit über einer Milliarde pro Monat.

Art des Betrugs: Umleitungsketten, um Werbeeinblendungen zu generieren
Betroffene Geräte: Alle Geräte, die Porno-Websites besuchen
Schaden: Über 1 Milliarde Werbeeinblendungen pro Monat

Quelle | Bildquelle

Skype-User wurden mit einer gefälschten Anzeige konfrontiert, die sie aufforderte, ihren Flash Player zu aktualisieren. Nach dem Herunterladen der Schadsoftware löste diese ein verschleiertes JavaScript aus, das eine neue Befehlszeile startete, dann die vom User gerade geöffnete Anwendung löschte und einen PowerShell-Befehl ausführte, um ein JavaScript Encoded Script (JSE) herunterzuladen. Da die Malware aktiv mit dem Command-and-Control-Server des Angreifers kommunizierte, konnte sie verschiedene Dinge mit den infizierten Geräten anstellen, einschließlich der Durchführung von Klick-Betrugs- und Malvertising-Kampagnen.

Art des Betrugs: Malware, die Klick-Betrugs- und Malvertising-Kampagnen durchführt
Betroffene Geräte: Windows-Betriebssystem
Schaden: Unbekannt

Quelle

Betrüger nutzten das soziale Netzwerk MySpace, um Geld von Werbetreibenden zu stehlen, indem sie mehrere Videoanzeigen automatisch abspielten, die Seite mehrmals aktualisierten und die User auf andere Domains umleiteten, um so mehr Werbeeinblendungen zu erhalten. In den fünf Monaten, in denen die MySpace-Website aktiv war, verzeichnete sie 9,7 Millionen Besuche durch Bots, die über 450 Millionen Seitenaufrufe erzeugten.

Art des Betrugs: Bot-Traffic, Seitenauffrischung und Weiterleitungsketten
Betroffene Geräte: MySpace User
Schaden: 450 Millionen Seitenaufrufe

Quelle

HyphBot war eines der größten Bot-Netzwerke, das in der digitalen Werbung entdeckt wurde. Es generierte bis zu 1,5 Milliarden Anfragen pro Tag mit Fake Traffic von mehr als 34.000 Domains. Die Operation begann im November 2016, gewann aber im August 2017 die meiste Zugkraft. HyphBot erstellte gefälschte Versionen etablierter Websites und schickte dann Bot-Traffic an diese Domains, um Werbeeinblendungen zu generieren.

Art des Betrugs: Gefälschte Werbeeinblendungen
Betroffene Geräte: Alle Geräte
Schaden: Zwischen 300.000 $ und 1,3 Millionen $ pro Tag

Quelle

Fireball war eine chinesische Malware, die weltweit über 250 Millionen Computer infizieren konnte. Die Malware wurde mit einer Reihe von Freeware-Tools wie “FVP Imageviewer” gebündelt, übernahm die Computer der Opfer und war in der Lage, beliebige Dateien oder Malware herunterzuladen und den Web-Traffic zu kapern und zu manipulieren, um Werbeeinnahmen zu erzielen.

Art des Betrugs: Gefälschte Werbeeinblendungen
Betroffene Geräte: Windows OS und macOS
Schaden: Über 250 Millionen infizierte Geräte

Quelle

Judy war eine automatisch klickende Adware, die in 41 von einem koreanischen Unternehmen entwickelten Apps gefunden wurde. Es handelte sich um einen der größten Android-Werbebetrugsfälle aller Zeiten, wobei alle Apps insgesamt über 36 Millionen Mal aus dem Google Play Store heruntergeladen wurden. Sobald die Apps installiert waren, öffneten sie heimlich gefälschte Websites im Hintergrund und klickten automatisch auf die dortige Werbung. Es wird geschätzt, dass die Angreifer durch diesen Betrug jeden Monat etwa 300.000 US-Dollar erwirtschafteten.

Art des Betrugs: Gefälschte Klicks auf Werbung
Betroffene Geräte: Android OS
Schaden: Über 36 Millionen Downloads von infizierten Apps

Quelle

Der WannaCry-Ransomware-Angriff dauerte nur sieben Stunden, hatte aber verheerende Auswirkungen: In dieser kurzen Zeit konnte die Ransomware über 230.000 Computer in über 150 Ländern infizieren, deren Daten verschlüsseln und Lösegeldzahlungen in der Kryptowährung Bitcoin fordern. Die Ransomware verbreitete sich über EternalBlue, eine von der Nationalen Sicherheitsbehörde der Vereinigten Staaten (NSA) entwickelte Sicherheitslücke, die auf ältere Windows-Systeme abzielte.

Art des Betrugs: Ransomware
Betroffene Geräte: Windows
Schaden: Über 230.000 infizierte Geräte

Quelle

Drei chinesische Staatsangehörige führten über mehrere Monate hinweg Klickbetrug mit Hunderten von echten Smartphones durch, um mehr Klicks auf Anzeigen zu erhalten.

Art des Betrugs: Gefälschte Klicks auf Anzeigen
Betroffene Geräte: Echte Smartphones mit Bot-Software
Schaden: Unbekannt

Quelle

Verschiedene kleine Pornoseiten wurden für schuldig befunden, ihren Usern Pop-Unders mit Werbung anzuzeigen. Die Pop-Unders aktualisierten die Werbung ständig und luden sie neu, so dass Tausende von Werbeeinblendungen getrackt werden konnten, obwohl sich die Werbung unter dem Haupt-Browser-Tab der User befand und daher nie von einem Menschen gesehen wurde.

Art des Betrugs: Pop-Unders mit ständigem Nachladen zur Erhöhung der Anzeigenaufrufe
Betroffene Geräte: Kleine Pornoseiten
Schaden: 1,3 Millionen Werbeeinblendungen

Quelle

Criteo hat eine Klage eingereicht, in der behauptet wird, dass das konkurrierende Unternehmen SteelHouse über einen Zeitraum von mehreren Wochen einen Betrug mit gefälschten Klicks begangen hat. Die Analyse von Criteo ergab, dass bei einem direkten Vergleich zahlreiche Klicks, die SteelHouse zugeschrieben wurden, innerhalb von Sekunden nach den Klicks erfolgten, die Criteo zugeschrieben wurden. Im Wesentlichen lud SteelHouse eine unsichtbare, kurzlebige Webseite unter die Webseiten seiner Kunden, die fälschlicherweise Klicks für SteelHouse auswies.

Art des Betrugs: Klick-Betrug mit falscher Klick-Attribution
Betroffene Geräte: Desktop- und Mobilgeräte
Schaden: Millionen von US Dollar

Quelle

Methbot war eine der größten und profitabelsten Betrugsoperationen im Bereich der digitalen Werbung. Im Laufe mehrerer Monate nutzten die Betrüger ein Botnetz aus über 500.000 realen IP-Adressen, um die Aufrufe von bis zu 300 Millionen Videoanzeigen pro Tag zu fälschen und so den Angreifern Einnahmen in Höhe von 3 bis 5 Millionen US-Dollar zu verschaffen.

Art des Betrugs: Gefälschte Video-Werbeeinblendungen
Betroffene Geräte: Desktop- und Mobilgeräte
Schaden: 300 Millionen Videoanzeigen pro Tag

Quelle