Hunderte Milliarden betrügerischer Werbeanfragen: Bot-Netzwerk PARETO aufgedeckt

 

Das Cybersicherheitsunternehmen HUMAN (ehemals White Ops)hat die Entdeckung und Bekämpfung eines neuen und umfangreichen Botnets bekanntgegeben. Als Angriffsziel wurde dabei das Connected TV (CTV)-Werbeökosystem ins Visier genommen. Mitglieder von The Human Collective – darunter die Omnicom Media Group, The Trade Desk und Magnite – haben gemeinsam mit Google und Roku die Bekämpfungsmaßnahmen durchgeführt. Das PARETO genannte Ad-Fraud-Netzwerk hat fast eine Million mobile Android-Geräte infiziert, die echte Personen vortäuschten und Werbeanzeigen auf Smart-TV- und anderen Geräten ansahen. Dabei nutzte das Botnet Dutzende von Mobile Apps, um mehr als 6.000 CTV-Apps zu imitieren oder zu spoofen. So kamen durchschnittlich 650 Millionen Fake-Werbeanfragen täglich zustande.

Das Pareto-Prinzip: 20 Prozent der Akteur:innen verursachen 80 Prozent der Auswirkungen

Das Satori Threat Intelligence and Research Team von HUMAN entdeckte vergangenes Jahr die PARETO-Operation und arbeitet seitdem gemeinsam mit dem HUMAN-Team, um die Kund:innen vor den Folgen des Botnets zu schützen. Die Operation wurde nach dem Pareto-Prinzip benannt, einem wirtschaftswissenschaftlichen Konzept, dem zufolge 80 Prozent der Auswirkungen (Ergebnisse) in jeder Situation von nur 20 Prozent der Akteur:innen (Aufwand) verursacht werden. Tamer Hassan, CEO und Mitbegründer von HUMAN, erklärt:

CTV bietet Streaming-Diensten und Marken enorme Möglichkeiten, mithilfe attraktiver Inhalte und Werbung mit Verbrauchern zu interagieren. Aufgrund dieser Möglichkeiten ist es für das CTV-Ökosystem und die Marken unglaublich wichtig, durch eine kollektiv geschützte Advertising Supply Chain zusammenarbeiten, um sicherzustellen, dass Betrug so schnell wie möglich erkannt, angegangen und beseitigt wird.

PARETO verwendete Spoofing-Signale in bösartigen Android Apps und täuschte TV-Streaming-Produkte auf FireOS, tvOS, Roku OS und andere bekannte CTV-Plattformen vor. Das Botnet machte sich die zunehmende Verlagerung auf digitale Geräte und Medien durch die Pandemie zu Nutze und versteckte sich im Hintergrund, um Werbekund:innen und Technologieplattformen vorzutäuschen, dass auf CTVs Werbeanzeigen ausgespielt wurden. Diese Methode ist für Betrüger:innen äußerst lukrativ, da die Preise für Anzeigen auf CTV-Geräten oft wesentlich höher sind als für mobile Geräte oder im Internet. Per Bjorke, Product Manager, Ad Traffic Quality bei Google, erklärt:

Wir sind der Research-Community sehr dankbar und schätzen unsere Zusammenarbeit mit HUMAN. Eine verantwortungsbewusste Offenlegung und Kooperation nützt dem gesamten Ökosystem. Wir freuen uns auf die Zusammenarbeit mit HUMAN bei zukünftigen Untersuchungen.

Die PARETO-Operation im vergangenen Jahr war nur schwer aufzudecken. Nach einem Jahr kontinuierlicher und effektiver Bedrohungserkennung und -behebung mithilfe einer Reihe von Gegenmaßnahmen und PARETO-Adaptionen konnten HUMAN und seine Partner:innen die Operation allerdings ausschalten.

HUMAN beobachtete auch einen kleineren, aber zusammenhängenden Versuch, Streaming-Plattformen zu spoofen. Bei der Operation wurde ein einzelner Entwickler im Roku Channel Store entdeckt, dessen Apps mit PARETO verbunden waren. Die mit dem Entwickler verknüpften Apps, die weniger als ein halbes Prozent der weltweit aktiven Roku-Geräte betrafen, waren darauf ausgelegt, mit dem Server zu kommunizieren, der das PARETO-Botnet betreibt. Der erste Vorfall konnte mit 29 Android Apps in Verbindung gebracht werden. Der zweite Vorfall stammte von einem Roku-Entwickler, der die Malware an infizierte Geräte lieferte. Die betroffenen Apps wurden aus den jeweiligen Marketplaces entfernt. Die Listen der Apps sind im Analysebericht von HUMAN verfügbar. Roku hat die betroffenen Apps ebenfalls dauerhaft von der Nutzung ausgeschlossen. HUMAN Chief Scientist Michael McNally gibt zu bedenken:

Besonders auffällig an dieser Operation ist der Umfang und die Raffinesse. Die Akteure hinter PARETO verfügen über ein grundlegendes Verständnis zahlreicher Aspekte der Werbetechnologie und nutzten dies zu ihrem Vorteil, um sich innerhalb des CTV-Ökosystems zu verstecken. Zudem versuchten sie Netzwerkprotokolle auf niedriger Ebene zu spoofen, was besonders schwer zu erkennen ist, jedoch von unserem Team bei HUMAN aufgedeckt wurde.

Das Satori Threat Intelligence and Research Team nutzte zahlreiche Tools, um die Quellen des Botnets zu identifizieren. Die Ermittlungsergebnisse wurden an die Vollzugsbehörden weitergegeben. Weitere Informationen über die PARETO-Operation findest du auf der Website von HUMAN zum Botnet.

---

Dieser Beitrag basiert auf der offiziellen Pressemitteilung von HUMAN.