Nur ist der Betrug extrem schwer nachzuweisen, was auch die Schätzung des Schadens unmöglich macht. Ursprünglich gefunden hatte den Trick eine Sicherheitsfirma, die Apps mit Hilfe von Adjust vertreibt. Das war im vergangenen März. Lange blieben die Fälle marginal. Doch Ende letzten Jahres sah sich Andreas Naumann, Fraud-Specialist bei Adjust, Ungereimtheiten bei einem Kunden an. Es war ein extremer Fall und Naumann brauchte eine Weile, um zu verstehen, dass die 20 Prozent, die nicht zu dem Rest passten, die echten Installationen waren und nicht die anderen 80 Prozent. 

Dieses sogenannten SDK-Spoofing (auch als Replay-Angriffe bekannt), hat keine Folgen für die Nutzer. Aber sie sind quasi Ausgangspunkt, weil sie eine App installiert haben, die entweder von den Betrügern stammt oder von ihnen manipuliert wurde. Diese liefert ein perfekte Abbild des Smartphones und wird virtuell kopiert. "Die Verbindung ist real, die Gerätedaten sind real, das Gerät ist real", sagt Naumann.

In der Folge können diese Geräte den Werbungtreibenden und deren Dienstleistern vorgaukeln, dass mit einem echten Telefon, das auch regelmäßig genutzt wird, auf einen Banner geklickt und eine App installiert wurde. Da die virtuellen Klone von tatsächlich existierenden Geräten als Quellen glaubwürdig sind, ist SDK-Spoofing nur schwer identifizierbar. Es gibt so gut wie keine Muster.

Fest steht nur der Weg des Geldes. Programmatic-Netzwerke schicken die Werbung auf einen Werbeträger der Betrüger. Das kann eine App oder auch eine Website sein. Dort wird dann virtuell geklickt. In der Folge zahlt der Werbungtreibende die Prämie an eine Agentur oder einen Dienstleister wie ein Netzwerk. Diese wiederum bezahlen die Betrüger. Nur wie gesagt, die Werbenetzwerke haben auch kaum Möglichkeiten, den Betrug zu entdecken. 

Aber es gibt eine Lösung. Naumann hat einige Wochen gebraucht, um bei Adjust einen sogenannten Signatur-Hash zu entwickeln. Er steht den Kunden, die die Sicherheitstools von Adjust nutzen, nun zur Verfügung. Es geht hierbei um einen neuen dynamischen Parameter, der nicht erraten oder gestohlen werden kann und jeweils nur einmal verwendet wird. Die Wahrscheinlichkeit für Betrug reduziert sich so über die Zeit hinweg drastisch. 


Autor: Leif Pellikan

ist Redakteur beim Kontakter und bei W&V. Er hat sich den Ruf des Lötkolbens erworben - wenn es technisch oder neudeutsch programmatisch wird, kennt er die Antworten. Wenn nicht, fragt er in Interviews bei Leuten wie Larry Page, Sergey Brin oder Yannick Bolloré nach.