224 betrügerische Android-Apps hat Google aus seinem Play Store entfernt. Sie waren insgesamt 38 Millionen Mal installiert, von Android-Nutzern in 228 Ländern, und lösten täglich 2,3 Milliarden betrügerische Werbeanzeigen aus, die nie jemand zu Gesicht bekam. Klassischer Werbebetrug, aber besonders gut versteckt. Dennoch aufgedeckt haben ihn Sicherheitsforscher der Firma Human. Sie nennen den Fall „SlopAds“, in Anspielung an „AI Slop“, was KI-generierte Medieninhalte geringer Qualität bezeichnet.

Die betrügerischen Anwendungen hatten meist KI-Bezug und enthielten, so wie sie im Play Store eingereicht und zum Download angeboten wurden, keine Malware-Funktion im engeren Sinne. Erst nach erfolgter Installation wurde eine verschlüsselte Konfiguration mittels Firebase Remote Config nachgeladen. Darin enthalten waren Hyperlinks: eine Liste über 300 betrügerischer Webseiten, die der Bereitstellung der fremden Reklame dienten; ein Link zum Download eines Javascripts, das den heimlichen Abruf der Reklame über Webview steuerte; und ein Link zu vier PNG-Bilddateien.

In diesen Bildern war, steganografisch, weiterer Code versteckt. Die Apps bauten daraus die eigentliche Schadroutine, die Human „FatModule“ nennt. Diese Software prüfte zunächst, auf welchem Wege der Nutzer an die App gelangt war. Wurde sie mittels Suche im Play Store gefunden und installiert, arbeitete sie nur wie angepriesen, die Schadroutine wurde dann nie scharfgeschaltet.

Wer auf Werbung hereinfiel, wurde für Werbedownloads missbraucht

Allerdings hatten die Werbebetrüger auch selbst Werbung geschaltet, nämlich für ihre Apps. Klickte ein Nutzer auf solche Reklame, landete auf diesem Weg in Googles Play Store und installierte die App, wurde deren Betrugsmodus aktiviert. Das sollte Sicherheitsforscher ausschließen, die sich eher im Play Store direkt bedienen, anstatt irgendwelche Reklame zu klicken.

Zusätzlich suchten die Apps nach Hinweisen auf mögliche Ausführung durch Sicherheitsforscher, etwa ein gerootetes Betriebssystem, einen Emulator oder Debugging-Werkzeuge. Nur wenn nichts dergleichen gefunden wurde, begannen die heimlichen Downloads von Werbung in einem versteckten Webview-Prozess. Selbst dann wurden die Abrufe über mehrere Weiterleitungen geschickt, um dem Werbeserver keine verdächtigen Referrer zu liefern.

Human hat Google informiert, dass die 224 bekannten Apps aus dem Play Store gelöscht wurden. Google Play wird jene Anwender, die solche Apps bereits installiert haben, zu deren Löschung von ihren Geräten auffordern.

Neuer Anlauf erwartet

Wie lange die Täter schon am Werk waren, ist nicht bekannt. Sie hatten es immerhin auf 38 Millionen Downloads gebracht. Und noch während der laufenden Untersuchung Humans sind weitere Apps hinzugekommen.

Die Forscher erwarten nicht, dass die Täter sich fortan redlichem Broterwerb widmen werden; wahrscheinlicher sei, dass sie bald neuen Anlauf nehmen, mit einer noch ausgefeilteren Werbebetrugsmasche. Opfer sind einerseits Werbetreibende, die für Werbung bezahlen, die nie ein Mensch würdigt, und andererseits die App-Nutzer, deren Bandbreite, Prozessorleistung und Akkuladung für systematischen Betrug vergeudet wird.

(ds)

Apple Sports ist ab sofort auch in Deutschland und Österreich verfügbar (App Store). Die Sportergebnisse-App von Apple stand zuvor bereits für die USA, Großbritannien und Kanada bereit. Dort war sie im Februar 2024 recht überraschend aufgetaucht. Lange blieb offen, ob und wann sie für weitere Länder herauskommt. Jetzt hat der iPhone-Hersteller sie für acht weitere Länder veröffentlicht und den Sportergebnis-Dienst um lokale Ligen erweitert.

Die iPhone-App (ab iOS 17.2) sticht durch ihre simple Gestaltung aus der Masse der Sport-Apps hervor. Sie ist kostenlos und werbefrei. Zudem wirbt Apple damit, dass Ergebnisse sekundenschnell angezeigt werden. Aus Interviews in den USA ist zu entnehmen, dass das Unternehmen dafür offenbar mit verschiedenen Datendienstleistern zusammenarbeitet, die die Ergebnisse und Statistiken zuliefern. Nutzer können laufende Begegnungen als Liveaktivität anzeigen lassen – dies funktioniert auch auf dem iPad und der Apple Watch.

Personalisierung, Widgets und Live-Aktivitäten

Nutzer der App können Apple Sports nach ihren Vorlieben einstellen. Damit können Begegnungen und Ligen hervorgehoben werden, die einem wichtig sind. Möglich ist zum Beispiel auch das Anlegen von Widgets auf dem Homescreen, aus denen ersichtlich ist, wie Begegnungen ausgegangen sind beziehungsweise wann sie stattfinden.

In der App selbst sind neben den Ergebnissen auch detaillierte Statistiken zu finden. Aus diesen geht zum Beispiel bei Fußballspielen hervor, wer zu welchem Anteil einer Begegnung im Ballbesitz war oder wie viele Torschüsse einer Mannschaft gelangen. Nutzer können die Ergebnisse über eine Teilen-Funktion überdies an Freunde und Bekannte weitergeben.

Acht europäische Länder dabei

Apple Sports startet neben Deutschland auch in Spanien, Italien, Frankreich, Irland, Portugal, Österreich und Island.

Neben Fußball sind unter anderem auch Ligen aus den Bereichen Basketball, Football, Baseball, Eishockey und Tennis im Ergebnisdienst vertreten.

Diese Ligen sind verfügbar

Hier eine vollständige Auflistung der verfügbaren Ligen:

• Bundesliga
• 2. Bundesliga
• Champions League (Männer und Frauen)
• Conference League
• EFL Championship
• Europa League
• Formel 1
• LaLiga
• Liga MX
• Ligue 1
• Ligue 2
• MLB
• MLS
• NASCAR
• NBA
• NCAA-Basketball (Männer und Frauen)
• NCAAF
• NFL
• NHL
• NWSL
• Premier League
• Primeira Liga
• Segunda División
• Serie A
• Serie B
• Tennis (Männer und Frauen)
• WNBA

(mki)

Eine umfangreiche Untersuchung der Nachrichtenagentur Reuters in Zusammenarbeit mit einem Forscher der Harvard University hat ergeben, dass sich die Sicherheitsvorkehrungen aktueller KI-Chatbots mit erschreckender Leichtigkeit umgehen lassen, um sie für Phishing-Angriffe zu missbrauchen. Demnach konnten alle getesteten Systeme, darunter ChatGPT von OpenAI, Googles Gemini, Metas KI und Grok von xAI, dazu gebracht werden, hochgradig überzeugende Betrugs-E-Mails zu verfassen.

In einem praktischen Test wurden einige dieser KI-generierten E-Mails an eine Gruppe von 108 freiwilligen Senioren versendet. Wie Reuters berichtet, klickten rund 11 Prozent der Empfänger auf die darin enthaltenen Links – eine bemerkenswert hohe Erfolgsquote für diese E-Mail-Form.

Mehr als nur Text: KI als strategischer Komplize

Die Untersuchung zeigt, dass die Chatbots weit mehr als nur Textbausteine liefern. Sie agierten in den Tests als proaktive Helfer bei der Planung des Betrugs. So habe der Chatbot Grok nicht nur eine Phishing-Mail verfasst, sondern von sich aus vorgeschlagen, die Botschaft mit Formulierungen wie „Klicken Sie jetzt, bevor es zu spät ist!“ noch dringlicher zu gestalten.

Googles Gemini wiederum lieferte auf Nachfrage strategische Ratschläge für den optimalen Versandzeitpunkt. Um ältere Menschen am besten zu erreichen, empfahl die KI Wochentage zwischen 9 und 15 Uhr, da diese Zielgruppe dann am ehesten ihre E-Mails prüfe.

Ein systemisches Problem der Tech-Branche

Die Leichtigkeit, mit der sich die Schutzmaßnahmen umgehen ließen, deutet auf ein grundlegendes Dilemma der Branche hin. Anbieter trainieren KI-Modelle darauf, Nutzern bestmöglich zu assistieren. Laut zitierten Experten stehe dieser Drang zur „Hilfsbereitschaft“ oft im Konflikt mit den implementierten Sicherheitsfiltern. Gibt man vor, die Texte etwa für einen Roman oder für Forschungszwecke zu benötigen, setzen die Chatbots ihre eigenen Regeln häufig außer Kraft.

Diese Beobachtung deckt sich mit den Warnungen von Sicherheitsbehörden wie dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI), das in seinen Lageberichten die fortschreitende Professionalisierung von Cyberangriffen durch neue Technologien hervorhebt. Die Reuters-Recherche liefert nun konkrete Belege aus der Praxis. Dem Bericht zufolge wird ChatGPT bereits heute in realen Betrugszentren in Südostasien eingesetzt, um Betrugsnachrichten zu erstellen und zu optimieren.

Die betroffenen Unternehmen erklärten gegenüber Reuters, dass die Erstellung von Phishing-Inhalten gegen ihre Richtlinien verstoße. Google teilte mit, nach der Konfrontation mit den Ergebnissen zusätzliche Schutzmaßnahmen für Gemini implementiert zu haben. Die Untersuchung macht jedoch deutlich, dass die aktuelle Generation von KI-Systemen eine erhebliche Schattenseite hat.

Der pensionierte Buchhalter Daniel Frank, einer der Studienteilnehmer, fasste seine Einschätzung so zusammen: „Ich denke, die KI ist ein Geist aus der Flasche, von dem wir wirklich nicht wissen, was er kann und was nicht.“

Dieser Beitrag ist zuerst auf t3n.de erschienen.

(jle)