Google hat 224 schädliche Android-Apps aus Google Play entfernt, die Teil der Werbebetrugskampagne SlopAds waren. Nach Analysen von Satori Threat Intelligence (Human Security) erzeugten diese Apps bis zu 2,3 Milliarden Werbeanfragen pro Tag und kamen zusammen auf mehr als 38 Millionen Installationen. Die Täter setzten auf Obfuskation, Steganographie und dynamisches Nachladen von Komponenten, um Store-Prüfungen und Geräteschutz zu umgehen.
Globale Reichweite und Muster der Verbreitung
Die SlopAds-Kampagne hatte einen globalen Fußabdruck: Downloads wurden aus 228 Ländern und Regionen beobachtet. Besonders stark betroffen waren die USA (~30% der Aufrufe), Indien (~10%) und Brasilien (~7%). Das Profil der Apps deutet auf eine Fließbandproduktion mit schnellen Veröffentlichungszyklen hin – typisch für monetarisierungsgetriebene Missbrauchsschemata, die viele scheinbar harmlose Apps parallel in den Markt drücken.
Tarnmechanismen: Doppelrolle und bedingte Aktivierung
Eine zentrale Besonderheit ist die bedingte Aktivierung. Bei Installation direkt aus Google Play verhielten sich die Apps unauffällig. Wurde die Installation jedoch über eine Werbeanzeige angestoßen, schaltete die App verdeckte Logik frei. Über Firebase Remote Config wurde eine verschlüsselte Konfiguration abgerufen, die Verweise auf Betrugs-Module, Auszahlungsinfrastruktur und JavaScript-Lasten enthielt. Dieses „Dual-Persona“-Verhalten erschwert sowohl manuelle Prüfungen als auch automatisierte Store-Scans.
Steganographie und „FatModule“: verdecktes Nachladen von Payloads
Vor der Aktivierung prüfte der Code, ob das App-Umfeld auf Analyse hindeutet (z. B. Sandbox, Debugger, Security-Tools). Bei unauffälliger Umgebung luden die Apps mehrere PNG-Bilder nach, in denen mittels Steganographie Teile eines schädlichen APK verborgen waren. Auf dem Gerät wurden diese Fragmente entschlüsselt und zum „FatModule“ zusammengesetzt – einem funktionsreichen Modul, das die Betrugslogik bereitstellt. Steganographie versteckt Daten in scheinbar legitimen Dateien und senkt so das Entdeckungsrisiko in Netzwerk- und Dateiscans.
WebView-Missbrauch und massenhafte Generierung falscher Aufrufe
Nach der Aktivierung missbrauchte das FatModule versteckte WebViews, um Geräte- und Browserparameter zu erheben und anschließend Ketten von operator-kontrollierten Domains aufzurufen. Diese Seiten tarnten sich als Gaming- oder News-Angebote und luden kontinuierlich Werbung in unsichtbaren WebViews, wodurch milliardenfach Fake-Impressions und -Klicks entstanden. WebView ist ein in Android integrierter Browserkomponent, der Webseiten innerhalb von Apps darstellt – in diesem Fall unsichtbar, um Erkennung durch den Nutzer zu vermeiden.
Infrastrukturbreite und Skalierungsabsicht
Die Infrastruktur umfasste zahlreiche Steuerungsserver und mehr als 300 Promo-Domains, die Verteilung und Monetarisierung stützten. Die Breite der Infrastruktur spricht für eine geplante Skalierung über die identifizierten 224 Apps hinaus – ein gängiges Muster, um Traffic-Quellen zu diversifizieren und Attributionsbemühungen zu erschweren.
Reaktion von Google und aktuelle Risikoeinschätzung
Google hat die bekannten SlopAds-Pakete entfernt und Google Play Protect mit Signaturen und Heuristiken aktualisiert, um Nutzer proaktiv zu warnen. Gleichwohl erhöht die Kombination aus modularer Architektur, Steganographie und kontextabhängiger Aktivierung die Wahrscheinlichkeit, dass ähnliche Kampagnen unter neuen Marken wieder auftauchen. Für Nutzer und Unternehmen bleibt daher kontinuierliche Wachsamkeit zentral.
Praktische Empfehlungen zur Risikoreduktion
Nutzer sollten Play Protect aktiviert lassen und keine Apps über zufällige Werbelinks installieren; bevorzugen Sie Entwicklerseiten und vertrauenswürdige Kataloge. Achten Sie auf Warnsignale wie übermäßige Berechtigungen, unerklärlichen Akku- und Datenverbrauch oder permanente Hintergrundaktivität. Unternehmen sollten anomalen HTTP(S)-Traffic überwachen, das Prinzip minimaler App-Berechtigungen umsetzen, Integritätskontrollen etablieren und MDM/EDR-Lösungen für Android einsetzen.
Die SlopAds-Kampagne zeigt, wie Obfuskation, Steganographie und bedingte Aktivierung Werbebetrug über lange Zeiträume in Mobil-Ökosystemen verschleiern können. Aktualisierte Schutzmechanismen reduzieren das Risiko, doch die Anpassungsfähigkeit der Täter erfordert fortlaufende Sensibilisierung, stringente Update- und Installationsdisziplin sowie Monitoring. Weitere Details liefern die Analysen von Human Security (Satori) und Richtlinien zu Google Play Protect. Überprüfen Sie Ihre Geräteflotte, entfernen Sie verdächtige Apps und stärken Sie Ihre Mobile-Sicherheitsrichtlinien jetzt.
