Eine neu analysierte Kampagne namens Pushpaganda zeigt, wie professionell organisierter Werbebetrug (Ad-Fraud) heute vorgeht. Angreifer kombinieren SEO-Poisoning, KI-generierte Inhalte und missbrauchte Browser-Push-Benachrichtigungen, um Nutzer von Google Discover gezielt auf Android-Geräten und im Chrome-Browser in Scareware- und Finanzbetrugs-Fallen zu führen.
Globale Zielgruppe: Android- und Chrome-Nutzer im Fokus der Kampagne
Nach Erkenntnissen des Teams Satori Threat Intelligence and Research von HUMAN Security richtet sich Pushpaganda primär an personalisierte Content-Feeds von Android– und Chrome-Nutzern. In der Spitze verzeichneten die Forscher innerhalb von nur sieben Tagen rund 240 Millionen Bid-Requests, verteilt auf 113 von den Tätern kontrollierte Domains. Diese Größenordnung ordnet Pushpaganda klar in die Kategorie großangelegter, professioneller Ad-Fraud-Operationen ein.
Die Kampagne begann mit Schwerpunkt in Indien, breitete sich jedoch rasch auf weitere Märkte wie die USA, Australien, Kanada, Südafrika und Großbritannien aus. Besonders kritisch: Die Angreifer kapitalisieren das Vertrauen vieler Nutzer in Google Discover als vermeintlich kuratierten, seriösen Nachrichtenkanal.
SEO-Poisoning und KI-Content: Wie Pushpaganda in Google Discover gelangt
Kern der Operation ist aggressives SEO-Poisoning. Dabei werden Websites so optimiert, dass sie in Suchergebnissen oder Empfehlungsfeeds weit oben erscheinen – hier speziell in Google Discover. Die Täter veröffentlichen scheinbar legitime News-Artikel und Analysen, deren Inhalte größtenteils von Künstlicher Intelligenz generiert und mit klickstarken Überschriften versehen werden.
Durch gezielte Suchmaschinenoptimierung, die Nutzung aktueller Schlagworte und die Nachbildung des Schreibstils echter Nachrichtenportale wirken diese Seiten auf den ersten Blick glaubwürdig. So gelingt es, dass sie in die Discover-Feeds eingespeist werden und für Nutzer wie reguläre Medienangebote aussehen.
Von der News-Seite zum Betrug: Missbrauch von Push-Benachrichtigungen
Nach dem Klick auf einen solchen Artikel beginnt der eigentliche Angriff. Besucher werden wiederholt aufgefordert, Browser-Push-Benachrichtigungen zu aktivieren. Technisch wird dabei der normale Benachrichtigungsmechanismus von Chrome genutzt – allerdings zweckentfremdet als dauerhafter Kanal für betrügerische Inhalte.
Sobald der Nutzer zustimmt, erhält er eine Flut von aufdringlichen, scheinbar dringenden Meldungen. Typische Beispiele sind angebliche juristische Drohungen, vermeintlich „kritische Sicherheitsalarme“ des Systems oder vorgebliche Warnungen von Banken. Jeder Klick führt auf weitere von der Kampagne kontrollierte Seiten, auf denen Werbeanzeigen und betrügerische Angebote eingeblendet werden. Die so generierten Klicks erzeugen illegale Werbeerlöse und sehen für viele Anti-Fraud-Systeme wie legitimer, organischer Traffic realer Nutzer aus.
Push-Benachrichtigungen als Angriffsvektor: alter Trick, neue Dimension
Der Missbrauch von Browser-Push-Benachrichtigungen ist kein neues Phänomen. Bereits frühere Kampagnen, etwa der von Infoblox untersuchte Akteur „Vane Viper“, nutzten Benachrichtigungen systematisch für aggressive Werbung und Social-Engineering-Techniken wie ClickFix. Pushpaganda zeigt jedoch, wie stark dieser Ansatz inzwischen skaliert und mit KI-Content und SEO-Manipulation verknüpft wird.
Laut HUMAN-Analystin Lindsey Kay erzeugen Benachrichtigungen gezielt ein Gefühl der Sofortigkeit und Bedrohung. Viele Nutzer klicken reflexartig – entweder, um die Meldung loszuwerden oder um mehr Informationen zu erhalten. Für Betreiber von Malware- und Ad-Fraud-Kampagnen ist dies ein äußerst attraktiver, verlässlicher Interaktionskanal.
Low5, BADBOX 2.0 und die Monetarisierungsinfrastruktur hinter Werbebetrug
Die Aufdeckung von Pushpaganda folgt unmittelbar auf die Analyse der großangelegten Ad-Fraud-Ökosphäre Low5 durch HUMAN. Diese Operation umfasste über 3.000 Domains und 63 Android-Apps und gehörte zu den größten jemals dokumentierten Märkten zum „Waschen“ von Werbetraffic.
Auf dem Höhepunkt erzeugte Low5 bis zu 2 Milliarden Bid-Requests pro Tag und betraf rund 40 Millionen Endgeräte weltweit. In den mobilen Apps verborgener Code zwang Geräte, automatisch bestimmte Domains aufzurufen und dort geschaltete Werbung zu „klicken“. Viele dieser Domains fungierten als Cashout- oder Ghost-Sites – Seiten ohne echte Zielgruppe, deren einziger Zweck das Durchschleusen künstlich erzeugten Traffics ist. Teile dieser Infrastruktur wurden zudem in komplexeren Kampagnen wie BADBOX 2.0 wiederverwendet.
Geteilte Monetarisierungsschicht: Warum die Infrastruktur überlebt
Besonders problematisch ist die von HUMAN beschriebene gemeinsame Monetarisierungsschicht von Low5. Mehr als 3.000 Domains waren in ein einziges Auszahlungs-Ökosystem eingebunden, an das unterschiedliche Tätergruppen andocken konnten. Dieses Modell schafft eine verteilte Plattform für Werbebetrug, erhöht die Resilienz gegen Abschaltungen und erschwert die Zuordnung zu konkreten Akteuren.
Selbst wenn einzelne Kampagnen oder schädliche Apps – wie im Fall von BADBOX 2.0 aus dem Google Play Store entfernt – werden, bleiben die Cashout-Domains als wiederverwendbare Ressource erhalten. Für Werbenetzwerke und Exchanges bedeutet dies, dass eine reine Reaktion auf bereits identifizierte Kampagnen nicht ausreicht. Notwendig ist proaktives Pre-Bid-Blocking: verdächtige Domains müssen bereits vor der Teilnahme an Auktionen identifiziert und ausgeschlossen werden.
Für Unternehmen und Endnutzer ergibt sich daraus ein klares Handlungsfeld: Anfragen zur Aktivierung von Push-Benachrichtigungen sollten grundsätzlich kritisch geprüft werden; Browser-Einstellungen und die Liste erlaubter Sites sind regelmäßig zu überprüfen und zu bereinigen. Sicherheitsupdates für Android und Chrome sollten zeitnah installiert und Lösungen zur Abwehr von Malvertising eingesetzt werden. Werbetreibende und Plattformbetreiber sollten verstärkt in Traffic-Qualitätsprüfungen, Threat-Intelligence-Feeds und die Analyse auffälliger Spitzen angeblich „organischer“ Aktivität investieren. Nur ein abgestimmtes Vorgehen aller Beteiligten reduziert die Attraktivität solcher Ad-Fraud-Modelle und schützt sowohl Nutzer als auch Werbebudgets nachhaltig.
