SlopAds: 38 Millionen Android-Geräte von Betrugs-Malware befallen

Google hat alle 224 betrügerischen Apps aus dem Play Store entfernt, nachdem Sicherheitsforscher eine massive Werbe-Betrugs-Kampagne aufgedeckt hatten. Die als “SlopAds” bezeichnete Operation infizierte mehr als 38 Millionen Geräte weltweit und generierte täglich 2,3 Milliarden gefälschte Werbeanfragen.

Die Cybersecurity-Firma HUMAN brachte diesen Herbst das ausgeklügelte Betrugsnetzwerk ans Licht, das sich über 228 Länder und Territorien erstreckte. Was die Kampagne besonders perfide machte: Die schädlichen Apps tarnten sich als harmlose Hilfsprogramme oder imitierten beliebte Dienste wie ChatGPT.

Während Werbetreibende die Hauptleidtragenden des Betrugs waren, litten auch die Nutzer unter verlangsamten Geräten, entleerten Batterien und erhöhtem Datenverbrauch – alles verursacht durch die im Hintergrund arbeitende Malware.

Raffinierte Tarnung umging Google-Sicherheitschecks

Der Erfolg von SlopAds beruhte auf einer cleveren Ausweichstrategie. Die bösartigen Apps verhielten sich völlig normal, wenn Nutzer sie direkt aus dem Google Play Store herunterluden. Dadurch passierten sie problemlos Googles Routine-Sicherheitsprüfungen.

Die Malware-Funktionalität aktivierte sich jedoch nur, wenn jemand die App nach dem Klick auf eine Werbeanzeige der Betrüger installierte. In diesem Fall lud die App eine verschlüsselte Konfigurationsdatei herunter, die das schädliche Programm startete.

Diese bedingte Aktivierung war der Hauptgrund, warum die Operation so lange unentdeckt blieb. Gavin Reid, Chief Information Security Officer bei HUMAN, erklärt: “SlopAds zeigt die zunehmende Raffinesse mobiler Werbebetrügereien, einschließlich versteckter, bedingter Betrugsausführung.”

Versteckte Browser in harmlosen Bildern

Die Malware-Betreiber nutzten eine Technik namens Steganographie, um schädlichen Code in scheinbar harmlosen Bilddateien zu verstecken. Die Apps luden vermeintlich normale PNG-Bilder herunter, die jedoch verschlüsselte, fragmentierte Teile des bösartigen Moduls enthielten.

Auf dem Gerät setzten sich diese Fragmente zu einer Komponente zusammen, die Forscher “FatModule” tauften. Diese erzeugte unsichtbare Browser-Fenster, sogenannte WebViews, die ohne Wissen des Nutzers operierten.

Diese versteckten Browser navigierten kontinuierlich zu von Angreifern kontrollierten Websites und klickten automatisch auf Werbeanzeigen – ein lukratives Geschäft auf Kosten der Nutzer. Die höchste Konzentration betrügerischen Traffics stammte aus den USA (30 Prozent), gefolgt von Indien (10 Prozent) und Brasilien (7 Prozent).

Google reagiert schnell – doch die Bedrohung bleibt

Nach dem Bericht von HUMAN entfernte Google alle 224 identifizierten Apps aus dem Play Store. Google Play Protect, Androids natives Sicherheitssystem, wurde aktualisiert, um auch Apps von Drittanbietern zu erkennen und vor ihnen zu warnen.

Trotz der erfolgreichen Störung warnen Sicherheitsexperten: Die Drahtzieher hinter SlopAds werden wahrscheinlich zurückkehren. Die komplexe Infrastruktur mit über 300 Werbedomains deutet auf geplante, massive Erweiterungen hin.

Mobile Bedrohungen nehmen drastisch zu

Die SlopAds-Kampagne spiegelt einen besorgniserregenden Trend wider: Mobile Malware ist 2025 um 151 Prozent gestiegen – allein im ersten Halbjahr. Cyberkriminelle bauen zunehmend koordinierte, großangelegte Systeme auf, die weit über einfache Schadprogramme hinausgehen.

Anzeige: Übrigens: Wer sich nach Fällen wie „SlopAds“ gezielt vor Android-Bedrohungen schützen möchte, kann mit wenigen Handgriffen viel erreichen. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen – Schritt für Schritt, ohne teure Zusatz-Apps – damit WhatsApp, Online‑Banking & Co. besser vor Datendieben und Schadsoftware geschützt sind. Inklusive Checklisten für geprüfte Apps, automatische Prüfungen und wichtige Updates. Jetzt kostenloses Android‑Sicherheitspaket sichern

Werbebetrug mag weniger direkt schädlich erscheinen als Banking-Trojaner, doch er untergräbt das Vertrauen in die digitale Werbebranche und kann als Basis für gefährlichere Malware dienen.

Was können Nutzer tun? App-Berechtigungen kritisch prüfen, Bewertungen vor der Installation lesen – und niemals Apps über Werbeanzeigen herunterladen. Die schnelle Reaktion Googles war wichtig, doch die ursprüngliche Infiltration zeigt: Der Kampf gegen mobile Bedrohungen ist ein Wettlauf ohne Ziellinie.