Millionenschwerer Werbebetrug aufgedeckt: Eine raffinierte Kampagne namens "SlopAds" täuschte täglich 2,3 Milliarden gefälschte Werbeanfragen vor. 38 Millionen Nutzer in 228 Ländern luden die verseuchten Android-Apps herunter, bevor Google diese Woche durchgriff.

Die Schadsoftware blieb clever versteckt: Nur wer über spezielle Werbeanzeigen zu den Apps gelangte, aktivierte den Betrugs-Code. Bei normalem Download vom Play Store verhielten sich die Anwendungen unauffällig - eine perfide Tarnung, die Googles Sicherheitsprüfungen austrickste.

Versteckspiel mit unsichtbaren Browser-Fenstern

Das Satori-Team von HUMAN Security deckte die ausgeklügelte Masche auf. Die Kriminellen versteckten ihren Schadcode in harmlosen PNG-Bilddateien - eine Technik namens Steganografie. Nach der Entschlüsselung erzeugten unsichtbare WebViews massenhaft gefälschte Werbeklicks.

30 Prozent der betrügerischen Aktivitäten stammten aus den USA, gefolgt von Indien (10 Prozent) und Brasilien (7 Prozent). Den Namen "SlopAds" wählten die Forscher auch wegen der lieblos gestalteten Apps, die wie KI-generierter Schrott wirkten.

Android-Bedrohungen explodieren 2025

Die SlopAds-Kampagne ist nur die Spitze des Eisbergs. Cybersecurity-Daten zeigen einen dramatischen Anstieg von 151 Prozent bei Android-Malware im ersten Halbjahr 2025. Spyware-Attacken stiegen um 147 Prozent, SMS-basierte Schadsoftware explodierte zwischen April und Mai sogar um 692 Prozent.

Besonders alarmierend: Über 30 Prozent aller Android-Geräte laufen mit veralteten Betriebssystemen ohne Sicherheits-Updates. Diese digitalen "Sitting Ducks" sind leichte Beute für Cyberkriminelle. Banking-Trojaner wie Anatsa stehlen Kontodaten, während Joker-Malware heimlich teure Premium-Abos abschließt.

Anzeige: Passend zur aktuellen Android-Bedrohungslage: Viele Nutzer übersehen genau die fünf Einstellungen, die vor Betrugskampagnen wie „SlopAds“, Spyware und SMS-Trojanern schützen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz-Apps absichern – inkl. Checklisten für WhatsApp, Online-Banking und PayPal. Holen Sie sich jetzt das praxiserprobte Sicherheitspaket. Kostenloses Android-Sicherheitspaket herunterladen

Katz-und-Maus-Spiel im App Store

Trotz Googles Play Protect-Dienst schaffen es immer wieder Betrüger in den offiziellen Store. Die SlopAds-Operation zeigt: Kriminelle setzen auf bedingte Aktivierung statt permanente Schadsoftware. Nur bei Installation über bestimmte Werbewege wird der Betrugs-Code scharf geschaltet.

Über 300 Werbe-Domains unterstützten die Kampagne - ein Zeichen für die professionelle Struktur hinter den Attacken. Experten erwarten daher weitere Angriffe unter neuer Identität.

Google hat alle identifizierten Apps entfernt und Play Protect entsprechend angepasst. Doch der Kampf geht weiter: Nutzer sollten App-Berechtigungen kritisch prüfen, unbekannte Entwickler meiden und niemals über Werbeanzeigen auf Apps zugreifen. In Zeiten von KI-gestützten Angriffen wird Wachsamkeit zur wichtigsten Verteidigung.