### KI-gesteuerte Täuschung zielt auf mobile Nutzer Die von **HUMAN**s Satori Threat Intelligence and Research Team identifizierte **Pushpaganda**-Kampagne zielt auf die personalisierten Inhaltsfeeds von Android- und Chrome-Nutzern ab. Die Forscher Louisa Abel, Vikas Parthasarathy, João Santos und Adam Sell berichteten, dass die Operation ungültigen organischen Traffic von echten mobilen Geräten generiert, indem sie Nutzer dazu verleitet, Benachrichtigungen zu abonnieren, die alarmierende Meldungen anzeigen. Auf dem Höhepunkt waren etwa 240 Millionen Gebotsanfragen über einen Zeitraum von sieben Tagen mit 113 Domains verbunden, die mit der Kampagne in Verbindung standen. Ursprünglich auf Indien ausgerichtet, hat sich die Bedrohung auf Regionen wie die USA, Australien, Kanada, Südafrika und das Vereinigte Königreich ausgeweitet. Gavin Reid, Chief Information Security Officer bei **HUMAN**, betonte, wie Bedrohungsakteure KI missbrauchen, um vertrauenswürdige Entdeckungsflächen zu kapern und sie in Auslieferungsfahrzeuge für Scareware, Deepfakes und Finanzbetrug zu verwandeln. **Google** hat inzwischen eine Korrektur implementiert, um das Spam-Problem zu beheben. ### So funktioniert der Betrug Das Schema beruht darauf, ahnungslose Nutzer über **Google** Discover zu irreführenden Nachrichten mit KI-generierten Inhalten zu locken. Sobald ein Nutzer auf einer vom Akteur kontrollierten Domain landet, wird er gezwungen, Push-Benachrichtigungen zu aktivieren, die gefälschte rechtliche Drohungen und Betrügereien liefern. Das Klicken auf die Scareware-Benachrichtigungen leitet die Nutzer zu weiteren Websites weiter, die von den Bedrohungsakteuren betrieben werden. Dies generiert organischen Traffic zu Anzeigen, die auf diesen Websites eingebettet sind, und ermöglicht es ihnen, illegale Einnahmen zu erzielen.  ### Missbrauch von Push-Benachrichtigungen: Eine wiederkehrende Bedrohung Dies ist nicht das erste Mal, dass Bedrohungsakteure Push-Benachrichtigungen als Waffe einsetzen. Im September 2025 hob **Infoblox** **Vane Viper** hervor, einen Bedrohungsakteur, der systematisch Push-Benachrichtigungen missbraucht, um Anzeigen zu schalten und ClickFix-ähnliche Social-Engineering-Kampagnen durchzuführen. Lindsay Kaye, Vice President of Threat Intelligence bei **HUMAN Security**, stellte fest, dass malwarebasierte Bedrohungen mit Push-Benachrichtigungen, sowohl für Web- als auch für mobile Plattformen, nicht neu sind. Nutzer klicken oft schnell auf diese Benachrichtigungen, was sie zu einem effektiven Werkzeug im Arsenal eines Malware-Autors macht. ### Googles Reaktion Ein **Google**-Sprecher erklärte, dass das Unternehmen den Großteil des Spams durch robuste Spam-Bekämpfungssysteme und Richtlinien gegen aufkommende Formen von minderwertigen, manipulativen Inhalten aus Discover fernhält. Bevor sie von dem Bericht erfuhren, haben sie eine Korrektur für das Spam-Problem eingeführt und einen hohen Qualitätsstandard für Inhalte auf Discover aufrechterhalten. **Google** hat robuste Spam-Richtlinien und Spam-Bekämpfungssysteme implementiert, um missbräuchliche Praktiken zu bekämpfen, die unoriginelle, minderwertige Inhalte in Search und Discover anzeigen. Regelmäßige algorithmische Updates werden ausgerollt, um Richtlinienverstöße zu kennzeichnen, die versuchen, Such- und Nachrichtenrankings zu manipulieren. Gemäß **Google**s Richtlinien verstößt jede Nutzung von KI zur Erstellung von Inhalten, die primär zur Manipulation von Suchrankings dienen, gegen die Spam-Richtlinien. Dies umfasst skalierte Inhaltsmissbräuche, wie die Nutzung von generativen KI-Tools zur Erstellung von Seiten, die keinen Wert bieten, das Scrapen von Feeds und die Erstellung mehrerer Websites, um die skalierte Natur der Inhalte zu verbergen. ### Ad-Fraud-Laundering-Marktplätze Diese Enthüllung folgt auf die jüngste Identifizierung von über 3.000 Domains und 63 Android-Apps durch **HUMAN**, die einen der größten jemals aufgedeckten Ad-Fraud-Laundering-Marktplätze darstellen. Diese Operation, genannt Low5, monetarisiert Domains als Cashout-Sites für ausgeklügelte Betrugssysteme, einschließlich **BADBOX 2.0**. Die Operation erreichte einen Spitzenwert von etwa 2 Milliarden Gebotsanfragen pro Tag und könnte auf bis zu 40 Millionen Geräten weltweit aktiv gewesen sein. Apps, die mit Low5 in Verbindung stehen, enthalten Code, der die Geräte der Nutzer anweist, Domains zu besuchen, die mit dem Schema verbunden sind, und auf Anzeigen zu klicken. Cashout-Sites, auch Ghost-Sites genannt, werden zur Durchführung von inhaltsgetriebenen Betrügereien verwendet. Dabei werden gefälschte Websites und Apps genutzt, um Werbeflächen an Werbetreibende zu verkaufen, die davon ausgehen, dass ihre Anzeigen von Menschen gesehen werden. Die betreffenden Android-Apps wurden aus dem **Google Play Store** entfernt. **HUMAN** betont, dass eine gemeinsame Monetarisierungsschicht, die Tausende von Domains umfasst, es mehreren Bedrohungsakteuren ermöglicht, sich in dieselbe Infrastruktur einzuklinken, wodurch ein verteiltes Laundering-System entsteht. Dies erhöht die Widerstandsfähigkeit gegen Bedrohungen, erschwert die Zuschreibung und ermöglicht eine schnelle Replikation. Selbst nachdem eine bestimmte Betrugskampagne eingestellt wurde, kann die Monetarisierungsinfrastruktur bestehen bleiben. Wenn eine bösartige App oder ein bösartiges Gerätenetzwerk entfernt wird, können dieselben Cashout-Domains von anderen Akteuren wiederverwendet werden. Low5 unterstreicht die Notwendigkeit einer kontinuierlichen, aggressiven Bedrohungsaufklärung und Erkennungsexpertise, um Cashout-Domains zu jagen und sie vor der Gebotsabgabe zu kennzeichnen.