Kriminalität: Bots, die auf Werbung starren

Das Onlinemagazin Buzzfeed stellt in einer Recherche eine besonders ausgefeilte Betrugsmethode vor: Computer schauen und klicken nicht nur fleißig auf Werbeanzeigen, sie imitieren auch das Nutzerverhalten jenseits des Klickbetruges. Die Programme sind darin so gut, dass sie kaum von echten Nutzern zu unterscheiden sind. Die Betrüger verdienten damit Millionen.

Stellenmarkt

1. DMK E-BUSINESS GmbH, Chemnitz, Potsdam, Köln
2. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen

In einem ersten Schritt erwarben die Kriminellen Apps, die im Google Play Store gelistet sind. Mehrere App-Entwickler berichteten Buzzfeed, sie seien von einer Firma namens We Purchase Apps kontaktiert worden. An der Seriosität der Webseite hegten die Entwickler zum Teil ihre Zweifel, aber das Angebot war gut und so nahmen sie an. Der Kaufpreis wurde in Bitcoin bezahlt. Dass der neue Eigentümer ein Betrugsnetzwerk war, ahnten die Entwickler nicht.

Nach dem Kauf der App wurden die Interaktionen der Nutzer heimlich beobachtet. Jedes Scrollen und Klicken analysierten die Klickbetrüger, um das Verhalten anschließend von Botnetzwerken imitieren zu lassen. Der so generierte Fake-Traffic verschleierte den eigentlichen Zweck: Klickbetrug. Der Traffic musste dabei möglichst authentisch aussehen, um Betrugsdetektionssysteme auszutricksen, und gleichzeitig möglichst viele Werbeanzeigen anzusehen und anzuklicken.

Von Apps, Bots und echten Menschen

Um die Tarnung aufrechtzuerhalten, wurden die Apps weiter gepflegt, um Nutzer zu halten oder neue zu gewinnen. 125 Programme und Webseiten konnte das Onlinemagazin dem kriminellen Netzwerk mit Briefkastenfirmen in Zypern, Malta, Kroatien, Bulgarien und anderen Orten zuordnen. Über ein Dutzend Apps waren auf Kinder und Jugendliche zugeschnitten. Auch deren Verhalten wurde analysiert.

Bei den Anwendungen handelt es sich hauptsächlich um Spiele, aber auch um eine Taschenlampen-, eine Ernährungsberatungs- und eine Selfie-App. Insgesamt wurden die Apps über 115 Millionen Mal installiert. Die App EverythingMe zählte alleine über 20 Millionen Installationen.

Die Werbebranche bezahlte Millionen für die Bots

Nach einer ersten Analyse schätzt Google, dass die Werbezahlungen an die betrügerischen Apps und Webseiten unter 10 Millionen US-Dollar betragen haben. Die meiste Werbung in den Apps sei jedoch von Mitbewerbern ausgespielt worden. Als Reaktion löschte Google mehrere Apps und setzte Webseiten auf eine schwarze Liste. Google spielt auf diesen keine Werbung mehr aus. Allein im letzten Jahr nahm Google 700.000 Apps aus dem Play Store, weil sie gegen dessen Richtlinien verstoßen hatten.

Die kriminelle Methode könne laut einer Schätzung der auf Betrugserkennung spezialisierten Firma Pixalate aus einer App über den Zeitraum von einem Jahr 75 Millionen US-Dollar generieren. Der Betrag könnte sogar weitaus höher liegen.

Während der Recherche und nach der Veröffentlichung durch Buzzfeed nahmen auch die Betrüger etliche Apps und Webseiten vom Netz.