Bots im Play Store: Multimillionen Dollar Ad Fraud in Apps aufgedeckt

BuzzFeed News konnte nach detaillierter Recherche ein komplexes Geflecht aus Scheinfirmen aufdecken, das in massiven Ad Fraud in Android-Apps involviert ist. Die Schäden gehen in den neunstelligen Bereich. Als Hauptverantwortliche gelten zwei Israelis und zwei Deutsche.

Über 125 Apps liefern wertlose Ad Impressions an Bots aus

Die Methode der Betrüger ist im Grunde genommen nicht neu, überrascht aber sowohl mit Blick auf die Komplexität als auch auf das Ausmaß des Frauds. Ein Unternehmen namens We Purchase Apps kauft einigermaßen erfolgreiche Apps mit guten Bewertungen und listet sie in Googles Play Store mit einem neuen (fiktiven) Besitzer. Dann analysieren die Hintermänner das Verhalten der bestehenden App-Nutzer, um ein Botnetzwerk zu trainieren sie nachzuahmen (in diesem Fall Google zufolge „TechSnab“).

Ohne das Wissen der User werden ihre Bewegungen und Klicks also getrackt. Sobald die menschlichen Aktionen im Interface ausreichend imitiert werden können, vermischen die Betrüger den realen mit künstlichem Traffic. Die Sicherheitsvorkehrungen, die Fake-Traffic erkennen sollen, greifen somit nicht. Die Anzeigen, die Werbetreibende in den Apps schalten, sehen dann größtenteils nur noch Computerprogramme. Der nutzlose Bottraffic verbrennt letztlich das Budget der Advertiser.

Reporter Craig Silverman spricht in dem ausführlichen Bericht von insgesamt 128 Apps, die von dem Scam betroffen sind. Laut einer Einschätzung eines Analyse-Tool-Anbieters kommen sie gemeinsam auf über 115 Millionen App Installs. Größtenteils handelt es sich dabei um Spiele, aber beispielsweise gehören auch eine Taschenlampen- sowie eine Selfie-App dazu. Viele der Programme richten sich an Kinder. Das Flaggschiff der Betrüger ist der Titel „EverythingMe“. Die App soll das Smartphone mitsamt seiner Apps und Kontakte organisieren und kommt auf mehr als 20 Millionen Downloads. In einem Spreadsheet ist eine Liste der betroffenen Apps einsehbar.

Schaden in Millionenhöhe – Google reagiert

Werbegelder in Höhe von hunderten Millionen Dollar sind laut ohne Leistung in die Taschen der Hintermänner gewandert. Der Schaden von Ad Fraud im App-Bereich geht jährlich in die Milliarden. Schätzungen zufolge ist nahezu jede vierte Impression nichts wert. Dabei steht Android stärker im Fokus der Scammer als iOS, da die Barrieren durch Sicherheitsvorkehrungen hier nach Ansicht von Experten nicht so hoch sind.

Google hat den Hinweis von BuzzFeed dankend entgegengenommen und die meisten Apps inzwischen aus dem Play Store verbannt. Teilsweise wurde das Inventar auch mit Googles eigenen Werbelösungen monetarisiert. In einem offiziellen Blogpost heißt es:

While our analysis of the operation is ongoing, we estimate that the dollar value of impacted Google advertiser spend across the apps and websites involved in the operation is under $10 million. The majority of impacted advertiser spend was from invalid traffic on inventory from non-Google, third-party ad networks.

Diverse Accounts auf Google Plattformen, die mit dem Bottraffic in Verbindung standen, wurden demnach gelöscht.

Jochen Schlosser, Chief Strategy Officer von Adform, plädiert für eine umfassendere Aufklärung des Falls:

Es geht mal wieder um Ad Fraud. Im aktuellen Fall schwanken die Schätzungen des finanziellen Schadens zwischen 10 Millionen und grob „neunstellig“. Laut Google kommt der Schaden dabei hauptsächlich aus AdNetworks, was unsere Analyse ebenfalls bestätigt. Der direkte, transparente Teil des Geschäfts ist anscheinend so gut wie nicht betroffen.

Um an Geld zu kommen, müssen die Betrüger eigene „Seiten“ betreiben und Werbebudgets anlocken. Dank ads.txt können sie im Desktopbereich außerhalb von (intransparenten) Networks kaum effektiv agieren. Im inApp-Bereich jedoch greift ads.txt derzeit noch nicht, aber auch hier bleibt bald nur noch die AdNetwork-Option. Am Ende gilt bereits heute: Wer billig und somit intransparent kauft, geht häufig ein entsprechend hohes Risiko ein.

So oder so, Fraud bleibt ein Problem in unserer Branche. Es ist ein Katz-und-Maus-Spiel, in dem wir alle versuchen, den Betrügern immer eine Nasenlänge voraus zu sein. ads.txt und bald auch ads.cert sind wirkungsvolle Waffen in diesem Kampf gegen Betrüger und zeigen, dass die Branche voranschreitet. Dennoch: jeder Anbieter muss weiterhin seine Hausaufgaben machen und sich des Themas aktiv annehmen. Umso unverständlicher ist es, dass es immer noch Plattformen gibt, die sich ausschließlich auf Partner verlassen anstatt selber zu investieren.

Generell würde ich mir zu dem Thema aber eine faktischere Aufarbeitung wünschen. Neunstellige Summen in den Raum zu stellen schafft Aufmerksamkeit, ist aber erstmal wenig hilfreich. Unsere Daten aus dem offenen Ökosystem legen nahe, dass eher die niedrigeren Schätzungen von Google realistisch sind. Es ist aber ohne weitere Informationen kaum zu verifizieren. Dass Bots trainiert werden, um „human behaviour“ nachzuahmen, ist erstmal überhaupt nichts Besonderes. Genauso sollen Bots nunmal funktionieren. Was ist hier im Detail passiert? In vielen Fällen, so auch Ende des letzten Jahres als Adform HyphBot enttarnt hat, gehört es meines Erachtens dazu, eine detaillierte Analyse zu veröffentlichen. Nur so können wir als Branche den Betrügern voraus sein und lernen. Dass die betroffenen Apps und Seiten sofort öffentlich gemacht worden sind, ist lobenswert, wobei es interessant wäre zu wissen, ob betroffene Plattformen bereits vor der Presse informiert wurden, um die Betrüger so schnell wie möglich zu stoppen.

Steckt Fly Apps hinter dem Fraud?

Die Apps listen fast alle unterschiedliche Unternehmen als Entwickler, teilweise mit sich überschneidenden Adressen auf Malta oder in Bulgarien. Das Firmengeflecht reicht von Deutschland, Serbien, Bulgarien, Kroatien und Israel über Zypern und Malta bis hin zu den British Virgin Islands. Auf den Websites der jeweiligen Unternehmen finden sich statt realen Mitarbeitern Stockfotos und kopierte Texte. Sogar auf LinkedIn sind Fake-Mitarbeiter mit geklauten Fotos und erfundenen Lebensläufen präsent.

BuzzFeed News konnte den Scam in mühseliger Kleinarbeit auf das Unternehmen Fly Apps zurückführen, das mit der App MegaCast bereits zuvor in ID-Spoofing verwickelt war. Die Besitzer von Fly Apps sind zu gleichen Teilen die Israelis Omer Anatot und Michael Arie Iron sowie die Deutschen Thomas Porzelt und Felix Reinel. Sie alle stammen aus dem Advertising- und Server Managing-Umfeld.

Fly Apps streitet derweil alles ab. Die Entwickler-Websites hinter den Apps sind seit der Veröffentlichung jedoch fast alle offline.