Solar Farm zur Click Farm wie du 28% zuviel für Online Werbung zahlst

Wenn wir über Energieverbrauch reden, dann sollten wir auch über die 60 Milliarden EUR die jedes Jahr in Klickfarmen verschwinden sprechen.

Wir holen bis zu 50% deiner Online Werbeausgaben als auch Rechenzentrum Kosten zurück:


captcha

Für alle die sich kurz einlesen wollen: https://www.buzzfeednews.com/article/craigsilverman/how-a-massive-ad-fraud-scheme-exploited-android-phones-to

klickbetrug android

Im letzten April erhielt Steven Schoen eine E-Mail von einer Person namens Natalie Andrea, die angab, für eine Firma namens We Purchase Apps zu arbeiten. Sie wollte seine Android-App Emoji Switcher kaufen. Aber sofort schien etwas aus.

„Ich habe ein bisschen gegraben, weil ich etwas skizziert war, weil ich nicht einmal feststellen konnte, dass das Unternehmen existiert“, sagte Schoen gegenüber BuzzFeed News.

Auf der We Purchase Apps- Website wurde ein Standort in New York aufgeführt, die Adresse schien jedoch eine Residenz zu sein. „Und ihre Telefonnummer war britisch. Es war einfach überall “, sagte Schön.

Es war alles ein bisschen komisch, aber nichts deutete darauf hin, dass er seine App in den Händen einer Organisation sehen würde, die für potenziell Hunderte Millionen Dollar an Ad-Betrug verantwortlich gemacht wurde und die Geld in eine Kabale von Shell-Unternehmen und -Personen geleitet hat verstreut in Israel, Serbien, Deutschland, Bulgarien, Malta und anderswo.

WERBUNG

Schoen hatte einen Skype-Anruf mit Andrea und ihrem Kollegen, der sagte, dass er Zac Ezra hieß, dessen voller Name jedoch Tzachi Ezrati ist. Sie einigten sich auf einen Preis und boten Schön in Bitcoin an.

„Ich würde sagen, es war mehr als ich erwartet hatte“, sagte Schön über den Preis. Das half ihm zu verkaufen.

Ein ähnliches Szenario verlief für fünf andere App-Entwickler, die BuzzFeed News mitteilten, dass sie ihre Apps an Wir Purchase Apps oder direkt an Ezrati verkauften. (Ezrati sagte gegenüber BuzzFeed News, er sei nur für den Kauf von Apps angestellt worden und habe keine Ahnung, was mit ihnen nach dem Erwerb passiert ist.)

„Ein großer Teil der Millionen von Android-Telefonbesitzern, die diese Apps heruntergeladen haben, wurde heimlich verfolgt, als sie in der Anwendung blätterten und klicken.“

Die Google Play-Store-Seiten für diese Apps wurden bald dahingehend geändert, dass vier verschiedene Unternehmen mit ihren Adressen in Bulgarien, Zypern und Russland als Entwickler aufgeführt wurden, was den Anschein erweckte, dass die Apps nun unterschiedliche Eigentümer hatten.

Eine Untersuchung von BuzzFeed News zeigt jedoch, dass diese scheinbar getrennten Apps und Unternehmen heute Teil eines massiven, hoch entwickelten Betrugs mit digitalen Werbeanzeigen sind, an dem mehr als 125 Android-Apps und Websites beteiligt sind, die mit einem Netzwerk von Front- und Shell-Unternehmen in Zypern, Malta, British Virgin, verbunden sind Inseln, Kroatien, Bulgarien und anderswo. Mehr als ein Dutzend der betroffenen Apps richten sich an Kinder oder Jugendliche, und eine Person, die an dem System beteiligt ist, schätzt, dass es Hunderten von Millionen Dollar von Marken gestohlen hat, deren Anzeigen auf Bots statt auf echten Menschen gezeigt wurden. (Eine vollständige Liste der Apps, der Websites und der mit dem Programm verbundenen verbundenen Unternehmen finden Sie in dieser Tabelle .)

Eine Möglichkeit, wie Betrüger Apps für ihr Programm finden, besteht darin, legitime Apps über Wir kaufen Apps zu erwerben und diese an Shell-Unternehmen zu übergeben. Anschließend erfassen sie das Verhalten der menschlichen Benutzer der App und programmieren ein riesiges Netzwerk von Bots, um es nachzubilden. Dies ergab eine Analyse von Protected Media , einer Cybersecurity- und Betrugserkennungsfirma, die die Apps und Websites auf Anfrage von BuzzFeed News analysierte.

Dies bedeutet, dass ein erheblicher Teil der Millionen von Android-Telefonbesitzern, die diese Apps heruntergeladen haben, beim Scrollen und Klicken innerhalb der Anwendung geheim verfolgt wurde. Durch das Kopieren des tatsächlichen Nutzerverhaltens in den Apps konnten die Betrüger gefälschten Datenverkehr generieren, der die Betrugserkennungssysteme umgangen hat.

„Dies ist kein gewöhnliches Betrugsprogramm“, sagte Asaf Greiner, CEO von Protected Media. „Wir sind beeindruckt von den komplexen Methoden, mit denen dieses Betrugsprogramm aufgebaut wurde, und ebenso beeindruckend ist die Fähigkeit von Kriminellen, unter dem Radar zu bleiben.“

„Dies ist kein normales Betrugsschema.“

Ein anderes Unternehmen zur Betrugsbekämpfung, Pixalate, hat im Juni erstmals ein Element des Systems aufgedeckt . Damals schätzte man, dass der Betrug, der von einer einzigen mobilen App begangen wird, jährlich 75 Millionen US-Dollar an gestohlenen Werbeeinnahmen generieren könnte. Nach der Veröffentlichung der Ergebnisse erhielt Pixalate eine E-Mail von einer anonymen Person, die mit dem System in Verbindung stand und sagte, dass der gestohlene Betrag dem Zehnfachen dieses Betrags entspricht. Die Person sagte auch, die Operation sei so effektiv, weil sie „mit den größten Partnern [in der digitalen Werbung] zusammenarbeitet, um den kontinuierlichen Fluss von Werbetreibenden und Geld sicherzustellen“.

Insgesamt wurden die von BuzzFeed News identifizierten Apps nach Angaben des Analysedienstes AppBrain mehr als 115 Millionen Mal auf Android-Handys installiert. Die meisten sind Spiele, aber andere enthalten eine Taschenlampen-App, eine Selfie-App und eine App zum gesunden Essen. Eine mit dem Schema verbundene App, EverythingMe, wurde mehr als 20 Millionen Mal installiert.

Einmal erworben, werden die Apps weiterhin gepflegt, um echte Benutzer zufrieden zu stellen und den Auftritt eines florierenden Publikums zu schaffen, das als Schutz für den geklonten gefälschten Verkehr dient. Die Apps sind auch auf mehrere Shell-Unternehmen verteilt, um die Erträge zu verteilen und die Größe des Unternehmens zu verbergen.

Die Offenbarung dieses Schemas zeigt, wie tief der Betrug in das Ökosystem für digitale Werbung eingebettet ist, wie viel Summen von Marken gestohlen werden und wie stark die Branche es nicht stoppen kann.

Das App-Kennzahlenunternehmen AppsFlyer schätzte, dass allein im ersten Quartal dieses Jahres 700 Millionen bis 800 Millionen US-Dollar gestohlen wurden. Dies ist eine Steigerung von 30% gegenüber dem Vorjahr. Die neueste Analyse von In-App-Betrug durch Pixalate ergab, dass 23% aller Anzeigenimpressionen in mobilen Apps in gewisser Weise betrügerisch sind. Nach Schätzungen von Juniper Research werden in diesem Jahr 19 Milliarden US-Dollar von digitalen Anzeigenbetrügern gestohlen. Andere glaubenjedoch, dass die tatsächliche Zahl das Dreifache sein könnte.

Der Schwerpunkt dieses Schemas liegt auf Android-Apps. Außerdem werden Betrug, Malware und andere Risiken in Betracht gezogen, die das mobile Ökosystem von Google und die Nutzer, die sich darauf verlassen, beeinträchtigen. Experten sagen, ein solches Programm zielt auf Android zum Teil wegen seiner großen Benutzerbasis und weil der Google Play Store einen weniger strengen App-Überprüfungsprozess als Apples App Store von Apple durchführt. Android-Apps werden gekauft und verkauft, mit bösartigem Code injiziert, ohne das Wissen der Nutzer oder von Google neu verwendet oder, wie in diesem Fall, zu Betrugsmustern. (Der App Store von Apple ist vor böswilligen Angriffen keineswegs gefeit: Ein Sicherheitsexperte stellte kürzlich fest ,dass eine App mit Top-Bezahlung heimlich Benutzerbrowserdaten an einen Server in China überträgt.)

Google erklärte gegenüber BuzzFeed News, dass alle Apps, die gegen die Play-Store-Richtlinien verstoßen, schnell entfernt werden, und dass letztes Jahr mehr als 700.000 Apps, gegen die verstoßen wurde, heruntergefahren wurden. Es hat auch seine Verpflichtung zur Bekämpfung von Anzeigenbetrug durch die Einführung von Standards wie ads.txt unterstrichen.

„Wir nehmen unsere Verantwortung zum Schutz der Nutzer ernst und bieten eine großartige Erfahrung bei Google Play. Unsere Entwicklerrichtlinien verbieten Anzeigenbetrug und Missbrauch von Diensten auf unserer Plattform. Wenn eine App gegen unsere Richtlinien verstößt , ergreifen wir Maßnahmen “, sagte eine E-Mail-Mitteilung eines Google-Sprechers.

Zu den Werbenetzwerken und Ad-Austauschen, die von dem Programm verwendet werden, gehören wichtige Akteure wie die von Google betriebenen. Dies bedeutet, dass diese Unternehmen Provisionen erhalten, wenn Anzeigen, die bei Bots geschaltet werden, nicht erkannt wurden. Es gibt keine Beweise, dass Google oder eines der anderen Unternehmen wusste, dass das Inventar betrügerisch war.

Nachdem Google eine Liste der mit dem Programm verbundenen Apps und Websites erhalten hatte, untersuchte Google, dass Dutzende Apps das mobile Werbenetzwerk verwendeten. Die unabhängige Analyse bestätigte das Vorhandensein eines Botnetzes, das den Verkehr zu Websites und Apps im Rahmen des Programms fördert. Google hat mehr als 30 Apps aus dem Play Store entfernt und mehrere Publisher-Konten in seinen Werbenetzwerken geschlossen. Google sagte, dass es vor der Kontaktaufnahme mit BuzzFeed News zuvor 10 Apps entfernt und viele der Websites blockiert habe. Es untersucht weiter und veröffentlichte einen Blog-Post, um die Ergebnisse detailliert darzustellen.

Das Unternehmen schätzt, dass dieser Vorgang annähernd 10 Millionen US-Dollar für Werbetreibende gestohlen hat, die das Werbenetzwerk von Google verwendet haben, um Anzeigen auf den betroffenen Websites und Apps zu schalten. Der Großteil der Anzeigen, die in diesen Apps und Websites geschaltet werden, wurde über andere große Werbenetzwerke geschaltet.

Auf die Frage, ob Apps laufend im Play Store bewertet werden, wies ein Unternehmenssprecher auf einen Blogbeitrag aus dem Frühjahr dieses Jahres, in dem es heißt: „Manchmal ändern Entwickler den Inhalt oder das Verhalten ihrer App und der zugehörigen App-Auflistung und Marketingmaterialien, nachdem sie ursprünglich genehmigt wurden Er verlangt laufende Überprüfungen, sobald neue Informationen verfügbar werden, die die ursprüngliche Beurteilung der Politik ändern können. “

Das Unternehmen würde nicht sagen, ob Apps in diesem System nach einem Eigentümerwechsel oder aus anderen Gründen eine nachfolgende Überprüfung erhalten haben.

Hast du einen Tipp zum Anzeigenbetrug? Sie können eine E-Mail an tips@buzzfeed.com senden. Um zu erfahren, wie Sie uns sicher erreichen können, gehen Sie zu tips.buzzfeed.com.

Amin Bandeali, der Chief Technology Officer von Pixalate, sagte gegenüber BuzzFeed News, dass App-Stores nur eine minimale laufende Überprüfung der Apps und ihrer Entwickler durchführen, was sie zu einem einfachen Ziel für Betrüger und andere schlechte Schauspieler macht.

„App Stores bieten, vielleicht unabsichtlich, ein Tor, um Betrüger mit Käufern und Verkäufern von [Werbung] zu verbinden“, sagte er. „Während die Geschäfte Kundenbewertungen, Download-Nummern und andere Qualitätsmerkmale anbieten, bieten sie nur minimale Dienstleistungen, die die Geschäftspraktiken, die Technologie und die Beziehungen der App-Unternehmen überprüfen.“

Um die wichtigsten Nutznießer dieses Systems zu identifizieren, analysierte BuzzFeed News Datensätze der Unternehmensregistrierung, Domain-Besitz- und Domain Name System-Daten, Play-Store-Einträge und andere öffentlich verfügbare Informationen. Das Netzwerk aus Apps und Websites ist mit Fly Apps verbunden, einem maltesischen Unternehmen mit mehreren Verbindungen zu dem Programm.

Von BuzzFeed News erhaltene Unternehmensrekorde zeigen, dass Fly Apps im Besitz von zwei Israelis, Omer Anatot und Michael Arie Iron, und zwei Deutschen, Thomas Porzelt und Felix Reinel ist.

Das LinkedIn-Profil von Anatot listet ihn als CEO von EverythingMe auf, einer beliebten App von Fly Apps. In Nachrichten, die an WhatsApp gesendet wurden, sagte Anatot, dass er nur EverythingMe verwaltet und den anfänglichen von Pixalate festgestellten Betrug für eine Firma verantwortlich macht, mit der sie, AdNet Express, zusammenarbeitete. Er sagte, sein Unternehmen habe AdNet Express für die Generierung von Installationen seiner Apps bezahlt, um die Benutzerbasis zu vergrößern, und der Betrug sei die Schuld des Partners.

„Sie haben für kurze Zeit Installationen für uns gekauft“, sagte er. „Sehr bald stellt sich heraus, dass diese Jungs zu 100% betrügerischen Verkehr von Bots waren, die Installationen anstoßen.“

Es ist nicht klar, ob AdNet Express ein echtes Unternehmen ist. Es hat praktisch kein Online-Profil oder einen guten Ruf außer einer sehr einfachen Website , auf der keine Adresse oder Telefonnummer aufgeführt ist und keine Kunden oder Projekte zitiert werden. In den Besitzinformationen der Domain für die Site wurden eine falsche US-Postanschrift sowie die E-Mail-Adresse „MatthewBStrack@teleworm.us“ aufgeführt. Diese E-Mail-Adresse wurde mit einem Dienst namens Fake Mail Generator generiert . Die beiden auf LinkedIn gelisteten Mitarbeiter des Unternehmens geben in ihren Profilen keine zusätzlichen Arbeitserfahrungen oder einen Ausbildungshintergrund an und scheinen keine andere Online-Präsenz zu haben.

BuzzFeed News hat eine E-Mail mit der Begründung von Anatot an die auf der Website des Unternehmens angegebene Adresse gesendet. „Das ist sehr interessant“, schrieb jemand zurück. „Heute kann ich nur noch Freitag sprechen.“ Auf nachfolgende E-Mails antworteten sie nicht.

Irgendwann, nachdem Anatot begonnen hatte, mit BuzzFeed News zu kommunizieren, wurden viele der Websites des Programms außer Betrieb gesetzt. Mehrere Websites für Shell-Unternehmen wurden gleichzeitig nicht veröffentlicht.

„Sie versuchen, mich an etwas zu binden, zu dem ich keine Beziehung habe“, sagte Anatot in einer Nachricht. „Und wenn Sie das veröffentlichen, tragen Sie und der Herausgeber die gesetzliche Haftung. Sie haben wirklich keinen Grund für die Dinge, an die Sie mich binden. “

Nachdem das Unternehmen eine ausführliche E-Mail mit Informationen zum Anschluss von Fly Apps an Apps und an dem Programm beteiligte Unternehmen erhalten hatte, antwortete das Unternehmen mit einem Schreiben seines Anwalts, in dem jegliche Beteiligung an Pixalate und dessen Kenntnis von dem von Pixalate festgestellten Betrug abgelehnt wurde. Fly Apps leugnet auch, dass es Verbindungen zu den Apps, Websites und Unternehmen hat, die im gesamten Fake-Traffic-Schema ermittelt wurden.

„Bitte beachten Sie, dass mein Kunde diese sehr schwerwiegenden und falschen Anschuldigungen, die bei ihrer Veröffentlichung zu Unrecht schaden würden, grundsätzlich ablehnt“, sagte der Brief von Harder LLP. „Die Apps von Fly Apps werden von vielen geliebt und haben eine beträchtliche Anzahl von Benutzern. Fly Apps ist ein angesehener Anwendungsentwickler, der seit langem von Werbepartnern und Werbeprüfungsunternehmen unterstützt wird. “

In dem Brief, der hier vollständig gelesen werden kann , wurde jeglicher Hinweis auf AdNet Express weggelassen, und stattdessen wurde der von Pixalate aufgedeckte Betrug auf einen unbenannten Dritten zurückgeführt, der ein „beschädigtes“ Software-Entwicklungskit zur Verfügung stellte. Es wurde nicht angesprochen, dass Protected Media in vielen dieser Apps und Websites vor mehr als einem Jahr gefälschte Zugriffe festgestellt hatte.

In einer Reihe weiterer Fragen aus BuzzFeed News wurde Fly Apps aufgefordert, die Tatsache zu kommentieren, dass Google Werbekonten im Zusammenhang mit Websites und Apps entfernt hatte, von denen festgestellt wurde, dass sie in hohem Maße betrügerischen Datenverkehr erhalten hatten. Das Unternehmen bestätigte durch seinen Anwalt, dass Google kürzlich Kontakt zu Fly Apps bezüglich seiner Konten hatte.

„Vor einigen Tagen erhielt Fly Apps eine Benachrichtigung von Google zu einem Problem mit Adsense und versucht, weitere Informationen einzuholen. Fly Apps ist zuversichtlich, dass es dieses Problem rechtzeitig lösen wird, und stellt fest, dass die Google-Benachrichtigung dies nicht tat Erwähnen Sie Probleme bezüglich des schlechten Verkehrs „, sagte eine per E-Mail versandte Erklärung.

BuzzFeed bat das Unternehmen außerdem, die Tatsache zu kommentieren, dass viele Websites, die mit dem System in Verbindung stehen, offline waren, nachdem Fly Apps von BuzzFeed News Interesse erfahren hatte. Viele Apps in diesem System wurden inzwischen von Google aus dem Play-Store entfernt.

„Fly Apps können weder online noch offline Anwendungen und Websites kommentieren, die sich nicht auf Fly Apps beziehen“, hieß es.

Nachfolgend wird erläutert, wie eine Gruppe von Partnern technisches Wissen und Verbindungen innerhalb des Werbe-Ökosystems, ein Netzwerk von Shell-Unternehmen mit gefälschten Mitarbeiterprofilen, eine Armee von Bots und mehr als 100 Apps und Websites nutzte, um ein von Insidern gestohlenes System zu betreiben Hunderte Millionen Dollar.


1. Wie der gefälschte Verkehr funktioniert

Der erste Schritt zur Schaffung eines überzeugenden gefälschten Datenverkehrs für dieses System besteht darin, Android-Apps zu erwerben, die von tatsächlichen Nutzern verwendet werden. Die Betrüger untersuchen das Verhalten der Benutzer und erstellen dann Bots – automatisierte Computerprogramme -, die die gleichen Aktionen nachahmen. Die Bots werden auf Server geladen, die spezielle Software enthalten, mit der die Bots innerhalb der jeweiligen Apps Datenverkehr generieren können.

Bei Websites im Schema besuchen die Bots sie mit virtuellen Webbrowsern, die diesen Verkehr als menschlich darstellen. In beiden Fällen generiert der falsche Traffic Anzeigenaufrufe, die wiederum Einnahmen erzielen.

Die Vermischung von echten Menschen mit Bots hilft dabei, Systeme zu unterdrücken, die zur Erkennung von falschem Verkehr entwickelt wurden, da der echte Verkehr und der falsche Verkehr fast genauso aussehen.

„Diese Bots sind für diesen Vorgang einzigartig und ahmen das echte Benutzerverhalten nach. Der Verkehr ist daher eine Mischung aus echten Benutzern innerhalb einer echten App und falschem Verkehr “, sagte Greiner von Protected Media. (Google-Untersuchung ergab auch , dass einige der gefälschten Verkehr auf Eigenschaften in das System geleitet von einem Botnet kam genannt „TechSnab.“ )

BuzzFeed-Nachrichten

„Es ist für uns klar, dass die Leute, die dieses System koordinieren, sowohl mit der Ad-Tech-Branche als auch mit dem gängigen Data Science-Ansatz zur Aufdeckung von Ad-Betrug vertraut sind“, sagte er.

Anatot hatte zuvor ein Unternehmen, Install Labs LTD, geführt, das Adware und andere Software verteilte, die von Sicherheits- und Antivirenfirmen als „potenziell unerwünschte Programme“ (PUP) eingestuft wurde, da diese Benutzer frustrieren und häufig ohne Erlaubnis andere Programme installieren. Er ist auch ein Investor in Montiera, einem anderen Unternehmen, das als PUP klassifizierte Software vertreibt. Wie die Android-Apps und Websites in diesem System stützten sich diese PUP-Angebote auf digitale Werbung, um Einnahmen zu erzielen.

Reinel und Porzelt unterhielten zuvor eine deutsche Hosting- und Server-Administrationsfirma namens hostimpact.de. Zwischen diesen dreien verfügen sie über den erforderlichen Hintergrund für Werbung und Serververwaltung, die für dieses Schema erforderlich sind.

Es ist unklar, was Iron vor Fly Apps gemacht hat, obwohl er, wie unten beschrieben, Teilhaber eines serbischen Unternehmens ist, das mobile Apps für Android und andere Webprodukte entwickelt.


2. Wie der Betrug zuerst entdeckt wurde

Das Projekt begann diesen Sommer aufzuklären, als Datenwissenschaftler bei Pixalate in einer Android-App namens MegaCast etwas Alarmendes entdeckten. Der App-Ton war, dass ein Benutzer jedes Video unabhängig vom Format auf einem Streaming-Gerät abspielen konnte. Aber hinter den Kulissen gab MegaCast vor, etwas zu sein, was es nicht war.

Pixalate stellte fest, dass MegaCast zeitweise die eindeutige ID anderer Apps anzeigt, um Angebote für Anzeigen zu erhalten. Dies bedeutete, dass Anzeigenkäufer glaubten, sie kauften beispielsweise Anzeigen in der weit beliebteren EverythingMe-App, wenn sie in Wirklichkeit in MegaCast auftauchten. (Dies wird als „Spoofing“ bezeichnet, da MegaCast vorgab, andere Apps zu sein.)

Pixalate identifizierte etwa 60 Apps, die von MegaCast gefälscht wurden, und schätzte, dass mit diesem Programm betrügerische Werbeeinnahmen in Höhe von 75 Millionen US-Dollar pro Jahr erzielt werden könnten. Es dokumentierte Anzeigen von großen Marken wie Disney, L’Oréal, Facebook, Volvo und Lyft, die auf betrügerische Weise gezeigt wurden.

Pixalate enthüllte seine Ergebnisse in einem Blogeintrag im Juni und MegaCast wurde bald aus dem Google Play Store entfernt.

Fly Apps erklärte gegenüber BuzzFeed News, MegaCast sei ein Opfer des Spoofing-Verfahrens und habe die App aus dem Play Store entfernt, weil „dessen Ruf leider durch die jüngsten Ereignisse getrübt wurde. Fly Apps wird eine neue und verbesserte Casting-Anwendung erstellen.“

Kurz nachdem Pixalate mit seinen Erkenntnissen an die Öffentlichkeit ging, erhielt eine E-Mail eine E-Mail-Adresse von Mobilytics.org, einem Analyseunternehmen, das den MegaCast-Betrug erleichtert hat. (Es wurde verwendet, um zu ermitteln, wie viel Geld mit jeder gefälschten App-ID für Anzeigen verdient wurde.)

„Diese E-Mail wird an das Top-Management-Team von Pixalate gerichtet. Aus offensichtlichen Gründen ist mein Name jetzt nicht relevant “, so die E-Mail.

Die Person bot an, ihr Insiderwissen zu teilen, um das System vollständig aufzudecken und zu zeigen, wie groß es wirklich ist.

“Your estimation of $75 [million] accumulated damage is probably 10% of the real numbers.”

“I will explain you the technologies to create traffic on android, how to distribute it, how to sell the created traffic, the business structures needed, but most of all how to partner with the biggest partners to ensure the ongoing flow of advertisers and money,” the email said. (Contrary to what Anatot and Fly Apps claimed, this inside source said nothing about fraudulent app installs or a corrupted software development kit.)

“And by the way,” the message said, “your estimation of $75 [million] accumulated damage is probably 10% of the real numbers. But that just explains how unaware or just cooperative the industry is with this growing ‘business.’”

Pixalate antwortete, um nach weiteren Informationen zu fragen, hörte es aber nie wieder. Bald darauf reagierten alle Antworten auf die E-Mail, nachdem die Website von Mobilytics offline gestellt wurde.

Zu diesem Zeitpunkt hatte BuzzFeed News mit der eigenen Untersuchung der Eigentumsinformationen und anderer Details zu den gefälschten Apps begonnen. Dieses Eintauchen in Unternehmensdatensätze, Informationen zur Domänenregistrierung, DNS-Daten und andere öffentlich zugängliche Quellen führte zu einem verblüffenden Ergebnis: Anstatt die Opfer des MegaCast-Spoofings zu sein, waren die Apps alle miteinander verbunden und daher Teil desselben Schemas. Dies stimmte mit dem überein, was der anonyme Mobilytics-Mitarbeiter angedeutet hatte. Die anschließende Entdeckung des von Bots erzeugten gefälschten Datenverkehrs durch Protected Media bestätigte auch die Aussage der Quelle.

Letztendlich führten diese Informationen zu einer Gruppe von vier Männern, die Fly Apps betreiben, zu denen MegaCast, EverythingMe und andere Anwendungen gehören.

3. Hauptbegünstigte

EverythingMe war im Jahr 2015 eine der vielversprechendsten Android-Apps im Play Store. Es gewann einen Webby Award, wurde von Google vorgestellt, hatte mehr als 10 Millionen Downloads und sammelte Risikokapital von über 35 Millionen US-Dollar. EverythingMe ist ein „Launcher“, mit dem Sie Apps und Kontakte organisieren und relevante Informationen basierend auf der Verwendung Ihres Telefons anzeigen können.

Trotz des Erfolgs gab das Unternehmen, das das Unternehmen gegründet hatte, Ende 2015 bekannt, dass es heruntergefahren sei und bald EverythingMe aus dem Verkehr gezogen habe. Ohne ein heißes Startup dahinter wurde die App weitgehend vergessen.

Im Jahr 2016 wurde die App laut einem ehemaligen EverythingMe-Manager, der nicht gebeten wurde, genannt oder zitiert zu werden, still an einen neuen Besitzer verkauft. Sie lehnten es ab, zu sagen, wer sie gekauft hatte, unter Berufung auf eine Geheimhaltungsvereinbarung. Anfang 2017 wurde der EverythingMe-Twitter-Account zum Leben erweckt, um zu benachrichtigen, dass „EverythingMe is back!“ Und ein Download-Link veröffentlicht wird.

EverythingMe ist bis heute Eigentum von Fly Apps. Auf LinkedIn gibt sich der israelische Anatot als CEO von EverythingMe auf. Die Unternehmensbeteiligungen bestätigen, dass Anatot 25% der Fly Apps besitzt, zusammen mit drei anderen Männern, die jeweils den gleichen Anteil besitzen: Thomas Porzelt und Felix Reinel, zwei Deutsche; und Michael Arie Iron, ein Israeli.

Nachdem Anatot gehört hatte, dass ein Reporter der BuzzFeed News in sein Unternehmen blickte, richtete er sich per E-Mail: „Ich verstehe, dass Sie sich mit der Werbung für mobile Apps beschäftigen, und nahm sehr falsche Schlussfolgerungen über mich, mein Unternehmen und meine Partner an.“

In einem nachfolgenden WhatsApp-Chat machte Anatot den von Pixalate auf AdNet Express festgestellten Betrug für ein möglicherweise nicht existierendes Unternehmen verantwortlich. Er hat auch seine Rolle und seinen Anteil an Fly Apps heruntergespielt.

„Mein holiding [ sic ] in fly Apps private Angelegenheit, aber ich kann Ihnen sagen , dass ich ein weit Minderheit Halter bin“ , sagte er, die Tatsache , Weglassen , dass er den gleichen Anteil wie seine drei Partner besitzt.

Nach der Übernahme von EverythingMe sagte Anatot: „Fly apps hat sich mit mir zusammengetan, um das Tech-Team und die Finanzierung zu liefern.“ Er sagte, er habe keine Kontrolle über andere Fly Apps-Produkte.

Weitere Details verbinden Anatot auf andere Weise mit mindestens einem seiner Fly Apps-Partner. Anatot betreibt ein Unternehmen namens TinTin Consulting , das als Vehikel für Investitionen in Unternehmen dient. Seine Liste der Portfoliounternehmen wurde von TinTins Website gestrichen, nachdem Anatot von BuzzFeed News ‚Interesse an ihm erfahren hatte. Bevor das Unternehmen jedoch schrubbte, wurde die in Serbien ansässige Firma Kudos für mobile Apps und Softwareentwicklung als eine seiner Investitionen aufgeführt. Laut maltesischen Unternehmensunterlagen besitzt Anatots Partner Iron 49% dieses Unternehmens.

Milos Kovacki, der Gründer und COO von Kudos, erklärte gegenüber BuzzFeed News, dass das Unternehmen nie mit Fly Apps oder einem der an dem Projekt beteiligten Shell-Unternehmen gearbeitet habe. Die LinkedIn-Profile von zwei Kudos-Mitarbeitern beschreiben jedoch detailliert ihre Arbeit bei MegaCast, der Fly-Apps-Android-App, die Pixalate im Mittelpunkt des Spoofing-Verfahrens fand. Kovacki antwortete nicht auf nachfolgende Fragen.

BuzzFeed News hat auch mehrere Verbindungen gefunden, über die Fly Apps mit anderen Unternehmen, Websites und Apps in der Anzeigenbetrugsoperation verbunden wurde.

Auf den Play-Store-Seiten für EverythingMe, Restaurant Finder und MegaCast ist die von Fly Apps verwendete Malta-Adresse aufgeführt. Dieselbe Adresse war auch auf der Website von Mobilytics aufgeführt, dem Unternehmen, das für den von Pixalate entdeckten ersten Betrug von zentraler Bedeutung war.

In dem Schreiben des Rechtsanwalts von Fly Apps wurde darauf hingewiesen, dass diese Adresse für einen Unternehmensregistrierungsagenten in Malta und nicht für eine Geschäftsstelle gilt. Eine Google-Suche nach der Adresse, die genau auf diese Seiten geschrieben wurde, führt jedoch fast ausschließlich zu Ergebnissen, die mit Apps verbunden sind, die Fly Apps gehören. Diese erste Verbindung ist nicht für sich allein schlüssig, sondern verbindet sich schnell mit anderen.

Ein Schlüsselelement zwischen Fly Apps und Eigenschaften im Schema ist die E-Mail-Adresse lorentsen@yandex.ru. Es wurde verwendet, um die Domainnamen für die Websites der Fly Apps-Eigenschaften EverythingMe und Restaurant Finder zu registrieren. Und es ist auch die E-Mail-Adresse, mit der die Websites für 15 andere Apps registriert werden, die an dem System beteiligt sind und die wiederum mit acht Shell-Unternehmen verbunden sind.

Eine dritte Verbindung zwischen Anatot / FlyApps und Unternehmen oder Eigenschaften im System ist die MegaCast-App. Anatot bestätigte gegenüber BuzzFeed News, dass MegaCast Fly Apps gehört. Auf der MegaCast- Website, die inzwischen entfernt wurde, wurde ein bulgarisches Unternehmen namens Messamta Project als Entwickler genannt. Die Unternehmensunterlagen von Messamta enthalten eine bulgarische Adresse, die von mehr als einem Dutzend anderer Apps des Programms verwendet wird. Es ist auch die Adresse der Unternehmensregistrierung, die von drei weiteren bulgarischen Shell-Unternehmen verwendet wird, die als Eigentümer dieser Apps und Websites aufgeführt wurden: Osipo / Osypo, Ventus Trading und Rasolant. Wie bei der Adresse in Malta scheint sie fast ausschließlich mit den an dem Programm beteiligten Unternehmen und Apps in Verbindung zu stehen.

Der Anwalt von Fly Apps argumentierte, dies sei nur ein weiterer Fall, bei dem der Kunde dieselben Dienstleister wie andere Unternehmen betreibe. Die Websites für Osypo und Rasolant wurden jedoch beide offline gestellt, nachdem BuzzFeed News mit Anatot kommuniziert hatte. Und wie nachstehend ausführlich beschrieben, gibt es überwältigende Beweise dafür, dass diese und andere verbundene Unternehmen nichts anderes sind als Schalen, die zur Durchführung des Betrugsverfahrens eingesetzt werden.

WERBUNG

BuzzFeed-Nachrichten

Die Fly Apps- Website selbst bietet auch eine vierte Verbindung. Sein Design und ein Teil des Textes ist eine Kopie der Website Loocrum.com , die sich selbst als Monetarisierungsplattform für mobile Apps bezeichnet. Der Code für die Fly Apps-Site enthält sogar einen Verweis auf Loocrum, aus dem hervorgeht, dass zumindest ein Teil des Codes buchstäblich von dieser Site kopiert wurde.

Die Loocrum-Website wurde im letzten Jahr von einer Person namens Petar Popovich mit der E-Mail-Adresse ppopovic588@gmail.com registriert. Diese E-Mail-Adresse wurde auch zur Registrierung der Domain-Namen von zwei an dem System beteiligten Shell-Unternehmen, Quaret und Visont, verwendet . Petar Popovich ist auch der Name des serbischen Staatsbürgers, der bulgarische Shell-Unternehmen in das System eingetragen hat. (Eine an diese Adresse gesendete E-Mail wurde nicht beantwortet.)

Eine letzte Bemerkung ist, dass die Restaurant Finder App, die zu Fly Apps gehört, aus dem Play Store entfernt wurde, nachdem Google Maßnahmen gegen Apps eingeleitet hatte, von denen festgestellt wurde, dass sie betrügerische Zugriffe im Rahmen dieses Verfahrens erhalten hatten.


4. Anschließen von Apps und Unternehmen

Nachdem Steven Schoen seine App Emoji Switcher an We Purchase Apps verkauft hatte, erstellte der neue Besitzer eine Website dafür, emojiswitcher.com . Und genau wie die Websites für EverythingMe und Restaurant Finder wurde diese Domain ursprünglich bei einem „Jacob Lorentsen“ von London unter der E-Mail-Adresse lorentsen@yandex.ru registriert. (Eine an diese Adresse gesendete E-Mail hat keine Antwort erhalten.)

Dieselben Registrierungsinformationen werden in den whois-Datensätzen für 19 andere mit Android-Apps verknüpfte Domänennamen in diesem Schema angezeigt. In diesen Apps werden mindestens acht verschiedene Unternehmen als Eigentümer oder Entwickler aufgeführt: Lyrman , Osypo , Fly Apps, Morrum , Visont , Imoderatus , AEY Solutions und Rasolant . Diese Unternehmen wiederum listen Adressen in Serbien, Zypern, Lettland, Bulgarien und Russland auf.

Diese E-Mail-Adresse für die Registrierung einer einzelnen Domain verbindet ein Web von Apps und Shell-Unternehmen miteinander sowie direkt mit Fly Apps:

BuzzFeed-Nachrichten

Eine weitere wichtige Verbindung zwischen mehreren Apps und Unternehmen ist die mit dem Messamta-Projekt verbundene Adresse in Bulgarien. Es erscheint auf den Play Store-Seiten für 21 Apps, die auf vier Unternehmen verteilt sind.

Neben der Unternehmensanschrift von Messamta wird es auch in Datensätzen für Rasolant angezeigt, das öffentlich als Eigentümer von 12 anderen Apps aufgeführt ist, die an dem Spoofing-Angriff beteiligt sind, der zuerst von Pixalate identifiziert wurde, sowie auf sieben verwandten Websites, die von BuzzFeed News identifiziert wurden.

Osypo, das auch dieselbe Adresse in Bulgarien verwendet, wird als Entwickler von vier Apps im Play Store aufgeführt, die Teil des Programms sind. Die Website des Unternehmens , die wie mehrere andere nach den Anfragen von BuzzFeed News gelöscht wurde, listet weitere sieben Apps auf.

Diese einzige Adresse verbindet mehrere Unternehmen, Apps und Websites, die wiederum eine Verbindung zu Fly Apps herstellen:

BuzzFeed-Nachrichten

Andere Verbindungen gibt es zuhauf. Zum Beispiel hat das Android-Spiel Surprise Eggs – Kids Game eine Auflistung im Play-Store, die besagt, dass es von einer Firma namens Visont entwickelt wurde, und die App- Website sagt dasselbe. In den Domain-Registrierungsinformationen für die App-Site ist der Besitzer jedoch als Quaret Digital aufgeführt , eine separate Firma, die selbst Eigentümerin von 10 Websites ist, die an dem Programm teilnehmen. Die Website wurde nach Ermittlungen von BuzzFeed News offline gestellt, kann aber hier eingesehen werden . (Die Website von Visont wurde ebenfalls letzte Woche entfernt. Sie wurde im letzten Jahr unter der E-Mail-Adresse lorentsen@yandex.ru registriert.)

Auf LinkedIn verwendet mindestens einer der angeblichen Angestellten von Quaret ein Profil, das der Schauspielerin und Instagram-Influencerin Sarah Ellen gestohlen wurde .

BuzzFeed-Nachrichten

WERBUNG

Die Domain-Registrierung und andere technische Details der Website für Surprise Eggs bieten zusätzliche Verbindungen. Die Site verwendet ein SSL-Zertifikat, das auf der Website TrackMyShows.tv registriert ist. Track My Shows ist eine Android-App im System, bei der eine Website unter lorentsen@yandex.ru registriert ist. (Ein SSL-Zertifikat wird verwendet, um die Identität einer in einem Webbrowser geladenen Website zu bestätigen. Außerdem trägt es zur Gewährleistung einer sicheren Verbindung für den Benutzer bei.) Websites verwenden normalerweise ein Zertifikat, das mit ihrer spezifischen Domäne verbunden ist, aber manchmal verwenden Website-Inhaber ein Zertifikat erneut über mehrere Eigenschaften.)

Mehr als 15 zusätzliche Websites, die an dem System beteiligt waren, verwendeten dasselbe TrackMyShows.tv-SSL-Zertifikat gemäß den Daten von DomainTools . Diese Apps geben an, im Besitz der Unternehmen Imoderatus, Morrum, Mout, AEY Solutions, Quaret Digital, Visont und Rasolant zu sein. Alle diese scheinbar separaten Apps / Websites, die zu unterschiedlichen Unternehmen gehören, werden ebenfalls auf demselben Server gehostet. Bei diesem Schreiben wurden kürzlich 13 der Apps aus dem Play Store entfernt, was wahrscheinlich auf die laufenden Ermittlungen von Google zurückzuführen ist.

BuzzFeed-Nachrichten

Fly Apps erklärte alle diese Zusammenhänge in einem Rechtsschreiben mit den Worten, dass dies „das praktische Ergebnis von Anwendungsentwicklern ist, die den gleichen Pool gemeinsamer Dienstanbieter in einer bestimmten Branche verwenden.“

„Sie sind nicht das Ergebnis eines unerlaubten Verhaltens von Fly Apps bei der Entwicklung und Einrichtung eines komplizierten Netzes bösartiger Anwendungen, um falschen Verkehr zu erzeugen und Hunderte Millionen Dollar an Werbeeinnahmen zu stehlen“, fügte er hinzu.

WERBUNG

5. Technische Verbindungen und allgemeiner Kundensupport

Die technischen Elemente der Apps bieten mehr Verbindungen und weisen darauf hin, dass sie zentral entwickelt und verwaltet werden.

BuzzFeed News stellte Armando Orozco, einem führenden Malware-Intelligence-Analyst bei Malwarebytes, eine Liste von Apps zur Verfügung. Er untersuchte eine Stichprobe von 13 Angehörigen verschiedener Shell-Unternehmen und stellte fest, dass „sie auf dieselbe Art und Weise gebaut werden und meistens dieselben sdk-Anzeigen enthalten – wahrscheinlich von denselben Entwicklern / Gruppen, die gerade unter verschiedenen Namen einreichen“ (Ad SDKs oder Software Development Kits sind Programmierbibliotheken, mit denen eine App bestimmte Anzeigentypen ausführen kann, um Einnahmen zu erzielen. Dies bedeutet, dass alle diese Apps die gleichen Anzeigentypen und Anzeigenanbieter verwendeten, um Geld zu verdienen.)

Er untersuchte auch EverythingMe, die Fly Apps-Anwendung, und fand heraus, dass es den gleichen eindeutigen Anzeigenidentifizierungscode wie andere Apps hatte, und sagte, dass es „sehr ähnliche Codeabschnitte und -zeichenfolgen“ enthielt.

Eine zusätzliche Verbindung zwischen Fly Apps-Anwendungen und den von Shell-Unternehmen betriebenen Apps finden Sie auf den Play-Store-Seiten. Diese angeblich getrennten Entwickler verwendeten den gleichen Satz wiederholt als Reaktion auf Beschwerden der Nutzer über aufdringliche oder überlastete Anzeigen: „Wir versuchen, ein Gleichgewicht zwischen sauberer Benutzererfahrung und der Finanzierung unseres Projekts zu finden!“

Fly Apps verwendet es, um auf Beschwerden über EverythingMe und MegaCast zu reagieren. Und es wird verwendet, um auf Beschwerden über Apps im Rahmen des Programms zu reagieren, darunter „Meine Shows verfolgen“, „Katzenrettungspuzzles“, „Überraschungs-Eier“ für Kinder, „Pix UI Icon Pack 2“ – kostenloses Pixel-Icon-Pack, „Überraschungs-Eier-Automaten“ und „Twist Your Fingers“ .

BuzzFeed-Nachrichten

6. Shell-Unternehmen mit gefälschten Mitarbeitern, gefälschten Kunden, kopiertem Text

In einigen Fällen listen die Websites der Shell-Unternehmen, die in dem System verwendet werden, die Namen und Fotos der Mitarbeiter auf und verknüpfen sie mit LinkedIn-Profilen. BuzzFeed News stellte jedoch mehrere Fälle fest, bei denen Stockbilder für die Bilder der Mitarbeiter verwendet wurden. In anderen Fällen werden bei der Suche nach Mitarbeiternamen nur Ergebnisse in Bezug auf die Unternehmen angezeigt, was darauf schließen lässt, dass es sich um erfundene Namen handelt. Mehrere Shell-Unternehmenswebseiten verwenden denselben Marketingtext wortwörtlich wieder.

WERBUNG

Ein bulgarisches Unternehmen namens Atoses Digital sagt auf seiner Website, dass es der Entwickler von Websites im Programm ist, darunter scandalcity.tv, webarena.tv, healthtube.info und dailydally.tv. (Es behauptet auch, an Glam gearbeitet zu haben, einer einst heißen Mode-Website, die letzten Sommer verkauft wurde .)

Auf der Atoses-Website werden acht Mitarbeiter aufgelistet, BuzzFeed News stellte jedoch fest, dass mindestens die Hälfte der Kopfschüsse von Stock-Image-Websites stammen. In den LinkedIn-Profilen dieser Mitarbeiter werden keine anderen Beschäftigungs- oder Ausbildungserfahrungen aufgeführt als ihre Tätigkeit bei Atoses.

BuzzFeed-Nachrichten

Viele Shell-Unternehmensseiten bieten auch gefälschte Kundenberichte. Die Website für ein Unternehmen namens TapTapVideo behauptet, dass es dabei hilft, MegaCast, Twist Your Fingers und Smart Voice Assistant zu monetarisieren, drei Apps, die im Schema gefunden wurden. Die Site enthält Kundenberichte, von denen einer von einer Frau namens „Gabriella Byrd“ stammt. Das für sie verwendete Foto ist tatsächlich ein Bild einer UX-Designerin namens Kristi Grassi.

BuzzFeed-Nachrichten

 Ja, mir ist bewusst, dass dieses Foto anscheinend überall verwendet wird“, sagte Grassi in einer E-Mail zu BuzzFeed News, nachdem er auf seine Präsenz auf der Website aufmerksam gemacht wurde. Grassi sagte, dass ihr Foto auf einer Website hochgeladen wurde, auf der Designer es in Mock-ups verwenden konnten. Seitdem wurde es von anderen missbraucht.

WERBUNG

In ähnlicher Weise hatte die von Osypo entfernte Website drei Kundenberichte, BuzzFeed News konnte jedoch keine Informationen über die genannten Personen und Unternehmen finden. (Die Website verwendet auch ein Foto , um sein Büro darzustellen.)

Neben gefälschten Mitarbeitern und Kunden recyceln die Unternehmen auf ihren Homepages denselben Text. Kheus , Immoderatus und Visont sagen alle: „Bevor wir mit dem Entwicklungsprozess beginnen, müssen wir die Projektgegenstände, Ihre Konkurrenten und die Zielgruppe des Projekts erforschen. Unsere Forschungsergebnisse in technischen Anforderungen und Wireframes werden gemeinsam mit dem Kunden ermittelt. “

Auf den Websites für Visont, Ellut und Morrum heißt es: „Um Ihre Kampagnenziele zu erreichen, umfasst unsere Technologie-Suite alle Arten von Targeting, einschließlich Re-Marketing, Kontext-Marketing, Verhaltensorientierung, geografische Ausrichtung und Dayparting.“

Osypo und Morrum enthalten auch den gleichen Text, einschließlich der Aussage, dass sie „Website-Entwicklungsdienste bieten, die alle Ihre Bedürfnisse erfüllen und auf die Besonderheiten Ihres Geschäftsfelds zugeschnitten sind.“


7. Video-Websites mit plagiierten Inhalten

Neben Android-Apps hat BuzzFeed News mehr als 35 Websites identifiziert, die mit den Shell-Unternehmen verbunden sind. Protected Media und Pixalate fanden auf einer Auswahl der Websites Hinweise auf betrügerischen Datenverkehr.

Die große Mehrheit dieser Websites präsentiert sich als Anbieter von Video-Inhalten in lukrativen Branchen wie Mode, Sport oder Celebrity News. Viele verwenden das .tv-Domänensuffix, um ihren Fokus auf Video zu verstärken.

Die Websites selbst aktualisieren jedoch selten ihren Inhalt und einige zeigen dieselben Videos. Ein weiteres Zeichen dafür, dass sie leere Schiffe für unechten Verkehr sind, ist die Tatsache, dass derselbe Satz – „Wir liefern unsere Dienste für über 4 Millionen Haushalte mit Set-Top-Boxen und mobile Videodienste, die über 10 Millionen Abonnenten erreichen“ gefunden wird auf der Seite „Über“ von mehr als 20 Standorten.

BuzzFeed-Nachrichten

WERBUNG

Zwei andere Websites in dem Schema, 24gossip.net und topstories.fun, kopierten ihren About-Seitentext von der Website Gossip Cop , einer Website zur Prüfung von Prominenten. (Beide URLs wurden mithilfe einer E-Mail-Adresse registriert, die mit Rasolant verbunden ist, während ihre Websites den Eigentümer öffentlich als Quaret Digital auflisten. Dies zeigt außerdem, wie die Shell-Unternehmen miteinander verflochten sind.)

BuzzFeed-Nachrichten

Nahezu alle Websites, die in den E-Mail-Nachrichten von BuzzFeed News an Anatot aufgeführt sind, sind seitdem offline.

Ein letztes Zeichen dafür, dass es sich um betrügerische Objekte handelt, wurde von Ian Trider bemerkt, dem Leiter des Echtzeitgebots für Centro, einer Plattform, auf der Marken und Agenturen digitale Anzeigen kaufen.

Er sagte BuzzFeed News, er habe im vergangenen Jahr mehrere Quaret-Immobilien verboten, nachdem sie bemerkt hatten, dass sie Anweisungen in ihren Website-Code aufgenommen hatten, die Google von der Indexierung der Websites abhalten würden. Dies hätte verhindert, dass die Websites Datenverkehr für die Suche gewinnen. Weniger Traffic bedeutet weniger Einnahmen, daher würde keine legitime, werbefinanzierte Website dies wünschen.

„Wenn Sie Suchmaschinen nach der Indexierung Ihrer Website fragen, tun Sie dies normalerweise nicht als gewinnorientierter Herausgeber. Sie wollen die Öffentlichkeit besuchen, damit Sie durch Werbung Geld verdienen können „, sagte Trider.

Der Suchverkehr scheint jedoch weniger wichtig, wenn Sie einfach eine Zielgruppe erstellen können.

Spread the word. Share this post!

Leave Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

code