Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware IconAds-Werbebetrug

IconAds-Werbebetrug

Von Mezo in Mobile Malware, Adware
Übersetzen Sie in:

Cybersicherheitsforscher haben eine groß angelegte Betrugskampagne im Bereich mobiler Werbung aufgedeckt und zerschlagen, die Hunderte irreführender Android-Anwendungen umfasste. Die sogenannte IconAds-Kampagne nutzte ausgeklügelte Umgehungstaktiken, infiltrierte offizielle App-Stores und nutzte ahnungslose Nutzer aus, um enorme Werbegewinne zu erzielen.

IconAds: Eine heimliche Werbebetrugsoperation im Verborgenen

Forscher deckten kürzlich ein Android-Werbebetrugsnetzwerk namens IconAds auf, das 352 schädliche Anwendungen umfasste. Diese Apps waren darauf ausgelegt, aufdringliche, kontextlose Werbung direkt auf dem Bildschirm anzuzeigen und gleichzeitig ihre Präsenz im Geräte-Launcher zu verbergen, was eine manuelle Entfernung nahezu unmöglich machte. Glücklicherweise hat Google diese Apps inzwischen aus dem Play Store entfernt.

In Spitzenzeiten generierte IconAds täglich bis zu 1,2 Milliarden Anzeigengebotsanfragen. Der Traffic stammte hauptsächlich aus Brasilien, Mexiko und den USA, was auf einen breit angelegten, aber regional ausgerichteten Targeting-Ansatz hindeutet.

IconAds ist nicht ganz neu. Es weist ähnliche Merkmale auf wie andere bekannte Bedrohungen, die unter Namen wie HiddenAds und Vapor verfolgt werden und seit mindestens 2019 immer wieder die Abwehrmechanismen des Play Stores umgehen.

Irreführende Taktiken und hartnäckiges Verhalten

Die Kerntaktik hinter IconAds basiert auf Heimlichkeit und Hartnäckigkeit. Diese Apps:

  • Verwenden Sie Verschleierung, um gerätespezifische Informationen während der Netzwerkkommunikation zu verbergen.
  • Verwenden Sie konsistente Benennungsmuster für Ihre Command-and-Control-Domänen (C2).
  • Ersetzen Sie die standardmäßige MAIN/LAUNCHER-Aktivität der App durch einen Alias, um das Erscheinungsbild und Verhalten der App zu steuern.

Nach der Installation zeigt die App zunächst ein normales Label und Symbol an. Nach dem Start aktiviert sie jedoch einen versteckten Aktivitätsalias, der auch nach einem Neustart bestehen bleibt und dazu führt, dass die App vom Startbildschirm verschwindet. Dieser Trick verhindert, dass Benutzer die Anwendung leicht finden oder deinstallieren können.

Das ultimative Ziel? Die Bereitstellung von Interstitial-Anzeigen im Vollbildmodus, die den Benutzer stören, unabhängig davon, welche legitime App verwendet wird.

In einigen Fällen tarnen sich IconAds-Varianten als Google Play Store oder andere vertrauenswürdige Google-Apps. Diese Täuschungs-Apps leiten Nutzer auf legitime Apps um und führen im Hintergrund unbemerkt betrügerische Aktivitäten aus.

Ausweichen und Evolution: Ein bewegliches Ziel

Im Zuge der Weiterentwicklung von IconAds verfügen neuere Versionen nun über zusätzliche Umgehungsebenen:

  • Lizenzprüfungen, die bösartiges Verhalten deaktivieren, wenn die App seitlich geladen wird (eine gängige Technik bei Sicherheitsanalysen).
  • Verbesserte Verschleierung, um sowohl die statische als auch die dynamische Inspektion zu erschweren.

Diese Apps haben zudem eine bewusst kurze Lebensdauer und werden oft schnell nach ihrer Entdeckung entfernt, nur um dann mit modifiziertem Code und neuen Identitäten wieder eingeführt zu werden. Forscher warnen, dass IconAds sich wahrscheinlich weiter anpassen und unter verschiedenen Deckmänteln wieder auftauchen werden.

Kaleidoskop: Der Aufstieg des Bösen Zwillings-Apps

In einer ähnlichen Entdeckung haben Experten Kaleidoscope aufgedeckt, eine Werbebetrugs-App, die die sogenannte „Evil Twin“-Methode verwendet. Bei diesem Modell handelt es sich um zwei nahezu identische Versionen einer App:

  • Ein gutartiger „Köder-Zwilling“, gehostet im Google Play Store.
  • Ein bösartiger „böser Zwilling“, der über App-Stores von Drittanbietern oder gefälschte Websites verbreitet wird.

Das böswillige Gegenstück generiert betrügerische Anzeigenimpressionen mithilfe von Vollbildanzeigen ohne jegliche Benutzerinteraktion und nutzt dabei dieselbe App-ID wie der Köder, um Werbetreibende dazu zu verleiten, für gefälschte Interaktionen zu bezahlen.

Kaleidoscope ist eine Weiterentwicklung eines ähnlichen Systems namens Konfety, das ursprünglich das CaramelAds SDK verwendete. In seiner neuesten Version wurden Verweise auf CaramelAds entfernt und die Kernfunktionen in neu benannte SDKs wie Leisure, Raccoon und Adsclub integriert, um Tracking und Zuordnung zu erschweren.

Globale Reichweite und Handelsbeziehungen

Zwischen Dezember 2024 und Mai 2025 hatte Kaleidoscope Auswirkungen auf zahlreiche Android-Nutzer, insbesondere in Lateinamerika, der Türkei, Ägypten und Indien. Diese Regionen sind aufgrund der hohen Verbreitung von Drittanbieter-App-Stores besonders gefährdet.

Zu den Hauptmerkmalen von Kaleidoscope gehören:

  • Vollbild-Interstitialanzeigen, die ohne Benutzereingabe ausgelöst werden.
  • Betrügerische Anzeigenaufrufe werden über schädliche App-Versionen umgeleitet.
  • Nachahmung legitimer App-IDs zur Maximierung der Werbeeinnahmen.

Ein Großteil der Monetarisierung von Kaleidoscope geht auf ein portugiesisches Unternehmen namens Saturn Dynamic zurück, das behauptet, legitime Werbemonetarisierungsdienste anzubieten. Seine Infrastruktur scheint jedoch maßgeblich dazu beigetragen zu haben, groß angelegten Werbebetrug durch die Verbreitung und Monetarisierung dieser betrügerischen Apps zu ermöglichen.

Abschließende Gedanken: Eine sich ständig verändernde Bedrohungslandschaft

Sowohl IconAds als auch Kaleidoscope veranschaulichen die Entwicklung des mobilen Werbebetrugs. Diese Operationen verwischen die Grenze zwischen legitimem und böswilligem Verhalten, indem sie schädliche Aktivitäten hinter ansonsten harmlosen Apps verbergen. Da diese Bedrohungen ihre Taktiken ständig ändern, ist es für App-Stores, Entwickler und Nutzer gleichermaßen wichtig, wachsam zu bleiben, und für Cybersicherheitsexperten, den immer raffinierteren Betrugsmechanismen immer einen Schritt voraus zu sein.

Im Trend

Am häufigsten gesehen

Wird geladen...