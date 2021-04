Ausgefeilte CTV-Betrugsoperation bestand aus fast einer Million infizierter Mobilgeräte, die sich für Millionen verbundener TV-Produkte ausgaben, sowie Hunderten von Milliarden betrügerischer Werbeanfragen

HUMAN (ehemals White Ops), ein Cybersecurity-Unternehmen, das Firmen vor Bot-Angriffen schützt, damit digitale Erfahrungen menschlich bleiben, meldete heute die Entdeckung und Ausschaltung eines neuen, sehr ausgefeilten Botnets, das als Betrugsopfer das Connected TV (CTV)-Werbe-Ökosystem ins Visier genommen hatte. Omnicom Media Group, The Trade Desk und Magnite, Flagship-Mitglieder von The Human Collective, einer neu eingeführten Initiative, um Player im gesamten digitalen Werbespektrum zusammenzuführen und ein kollektiv geschütztes Ökosystem zu schaffen, arbeiteten mit HUMAN zusammen. Die Bemühungen wurden durch Google und Roku unterstützt, die die Bekämpfungsmaßnahmen leiteten.

Kurz gesagt besteht PARETO aus fast einer Million infizierter Android-Mobilgeräte, die vorgeben, Millionen von Menschen zu sein, die Anzeigen auf Smart-TV- und anderen Geräten ansehen. Das Botnet nutzte Dutzende von Mobil-Apps, um mehr als 6000 CTV-Apps zu verkörpern oder spoofen, was durchschnittlich 650 Millionen Anzeigenanfragen täglich entspricht.

HUMANs Satori Threat Intelligence and Research Team stellte die PARETO-Operation 2020 fest und arbeitet seitdem mit dem HUMAN-Team zusammen, um Auswirkungen des Botnets auf Kunden zu verhindern. Die Operation wurde nach dem Pareto-Prinzip benannt, einem wirtschaftswissenschaftlichen Konzept, dem zufolge 80 Prozent der Auswirkungen in jeder Situation von nur 20 Prozent der Akteure bewirkt werden.

"CTV bietet Streaming-Diensten und Marken massive Möglichkeiten, mithilfe attraktiver Inhalte und Werbung mit Verbrauchern zu interagieren", so HUMAN CEO und Mitbegründer Tamer Hassan. "Aufgrund dieser Gelegenheit ist es für das CTV-Ökosystem und die Marken unglaublich wichtig, dass sie mithilfe einer kollektiv geschützten Werbe-Supply-Chain zusammenarbeiten, um sicherzustellen, dass Betrugsversuche so schnell wie möglich erkannt, angesprochen und beseitigt werden."

PARETO stellte per Spoofing Signale in bösartigen Android-Mobil-Apps nach, um Verbraucher-TV-Streaming-Produkte zu verkörpern, die Fire OS, tvOS, Roku OS und andere beliebte CTV-Plattformen ausführen. Das Botnet nutzte dabei digitale Verlagerungen aus, die durch die Pandemie beschleunigt wurden, und verbarg sich im Rauschen, um Werbekunden und Technologieplattformen vorzutäuschen, dass auf CTVs Werbeanzeigen gezeigt wurden. Dieser Ansatz ist für Betrüger lukrativ, weil die Preise für Anzeigen auf verbundenen TV-Geräten oft beträchtlich höher liegen als die für Anzeigen auf Mobilgeräten oder im Internet.

"Wir sind der Forscher-Community sehr dankbar und schätzen unsere Zusammenarbeit mit HUMAN", sagte Per Bjorke, Product Manager, Ad Traffic Quality bei Google. "Verantwortungsbewusste Offenlegung und Kooperation nutzen dem gesamten Ökosystem. Wir freuen uns darauf, bei zukünftigen Recherchevorhaben wieder mit HUMAN zusammenzuarbeiten."

Die PARETO-Operation im letzten Jahr war unglaublich ausgetüftelt und schwer zu entdecken. Für jeden Spoofing-Zyklus konnte HUMAN aber beim Start einer neuen Verkleidung von PARETO für seinen gefälschten Traffic Techniken feststellen und kontinuierlich verbessern, um unsere Kunden mit der Advertising Integrity-Lösung von HUMAN zu schützen. Nach einem Jahr kontinuierlicher und effektiver Bedrohungserkennung und -behebung und mithilfe einer Reihe von Gegenmaßnahmen und PARETO-Adaptionen konnten HUMAN und seine Partner (darunter Omnicom Media Group, The Trade Desk, Magnite, Google und Roku) die Operation ausschalten.

"Roku verpflichtet sich ganz dem Kampf gegen Anzeigenbetrug in jeder Form sowie der Entwicklung branchenführender Praktiken, um Betrugsversuchen weltweit einen Schritt voraus zu sein. Wir freuen uns, die Bemühungen von HUMAN zur Ausschaltung der PARETO-Operation unterstützt zu haben. Während dieser Betrugsversuch weniger als 0,1 der Roku-Geräte betroffen hat, hat unser Ansatz zur Schaffung eines kuratierten Premium-Marktplatzes sichergestellt, dass für keinen einzigen Roku-Werbekunden die Gefahr bestand, davon betroffen zu sein", so Willard Simmons, VP of Product Management bei Roku. "Der PARETO-Fall unterstreicht erneut, wie wichtig es ist, Betrug ernst zu nehmen, mit den besten Betrugserkennungs-Partnern zusammenzuarbeiten und sicherzustellen, dass sowohl die Angebots- als auch die Nachfrageseite des Werbe-Ökosystems nur mit vertrauenswürdigen, bestätigten Partnern zusammenarbeiten."

HUMAN beobachtete auch einen viel kleineren, aber vernetzten Versuch, Verbraucher-Streaming-Plattformen zu spoofen. Bei der Operation wurde ein einzelner Entwickler im Roku Channel Store entdeckt, dessen Apps mit PARETO verbunden waren. Die mit dem Entwickler verknüpften Apps, die sich auf weniger als ein halbes Prozent der aktiven Roku-Geräte weltweit auswirkten, wurden für die Kommunikation mit dem Server entwickelt, der das PARETO-Botnet betreibt. Die Hauptoperation war mit 29 Android-Apps verbunden, die sekundäre Operation mit einem Roku-Entwickler, der die Malware auf die infizierten Geräte aufspielte. Diese Apps wurden alle von den Marktplätzen entfernt, in denen sie operierten, und Listen der Apps stehen als Anhänge der technischen Analyse des Botnets durch HUMAN zur Verfügung. Roku hat die betroffenen Apps ebenfalls permanent abgetrennt, sodass sie nicht mehr genutzt werden können.

"Was an dieser Operation besonders auffällt, ist ihr Umfang und wie ausgefeilt sie war", sagte HUMAN Chief Scientist Michael McNally. "Die Akteure hinter PARETO haben ein grundlegendes Verständnis zahlreicher Aspekte von Werbetechnologie und dieses zu ihrem Vorteil missbraucht, um ihre Arbeit im CTV-Ökosystem geheim zu halten. Ihre Bemühungen umfassten Netzwerkprotokoll-Spoofing auf niedriger Ebene, was besonders schwer zu entdecken ist, unserem Team bei HUMAN aber nicht entging."

Das Satori Threat Intelligence and Research Team nutzte viele verschiedene Tools, um die Quellen des Botnets zu identifizieren. Die Ermittlungsergebnisse wurden an die Vollzugsbehörden weitergegeben. Weitere Informationen über die PARETO-Operation finden Sie unter humansecurity.com/pareto.

