KI-basierte Markenimitation zielt über bösartige mobile Apps auf Meta-Geschäftskonten ab

1. Juni 2026

Von Samantha Clarke, Archa Archa, Hiwot Mendahun und dem Mimecast Threat Research Team

Kampagnenübersicht

Das Mimecast Threat Research-Team verfolgt eine Phishing-Kampagne, die die Beliebtheit von KI-Plattformen ausnutzt, um schädliche mobile Anwendungen zu verbreiten. Im Rahmen dieser Kampagne werden vertrauenswürdige Marken, insbesondere Google Gemini und OpenAI/ChatGPT, nachgeahmt, um geschäftliche Nutzer dazu zu verleiten, betrügerische Apps aus dem Apple App Store herunterzuladen.

Der Angriff beginnt mit Phishing-E-Mails, deren Betreffzeilen beispielsweise wie folgt lauten: „ "“ („Google Gemini LLC hat Sie eingeladen, Google Gemini Advertising zu testen“), „" “ („Google Gemini LLC hat Sie eingeladen, Google Gemini Advertising zu testen“) oder „ "“ („ChatGPT hat Sie eingeladen, OpenAI Advertising zu testen“)." Diese Nachrichten geben vor, exklusive Einladungen zum Testen neuer KI-gestützter Werbeprodukte zu sein, und richten sich speziell an Unternehmer und Marketingfachleute, die Werbekampagnen in sozialen Medien betreuen.

Zuordnung zu Handelsgeschäften auf vietnamesischen Konten

Mimecast hat eindeutige Hinweise darauf identifiziert, dass diese Kampagne mit vietnamesischen Angreifern in Verbindung steht, die sich auf den Handel mit Meta Business Manager-Konten spezialisiert haben. Die Kampagnen fügen sich in einen breiteren Trend ein, bei dem von Vietnam aus operierende Akteure kompromittierte Meta-Geschäftskonten erwerben, um diese weiterzuverkaufen oder auszunutzen. Das vietnamesische Ökosystem für den Handel über Kundenkonten funktioniert über verschiedene Kanäle.

Untergrundmarktplätze: Kompromittierte Meta Business Manager-Konten mit aktiven Zahlungsmethoden erzielen in vietnamesischsprachigen Foren und verschlüsselten Messaging-Kanälen Spitzenpreise. Konten mit einer nachgewiesenen Werbekostenhistorie und höheren Ausgabenlimits sind besonders wertvoll.
So ist beispielsweise VIA17 ein frei zugänglicher vietnamesischer Marktplatz für Konten, der offenbar den Zugang zu Social-Media-Konten sowie damit verbundene Dienstleistungen im Zusammenhang mit der Kontoverwaltung kommerzialisiert. Es handelt sich nicht nur um einen einzelnen Verkäufer, sondern um einen repräsentativen Online-Shop innerhalb einer größeren, mit Vietnam verknüpften Dienstleistungswirtschaft im Bereich der Cyberkriminalität, die nachgelagerte Betrugsaktivitäten unterstützt, darunter den Missbrauch von Facebook-Werbekonten.

 

Netzwerke für Werbebetrug: Vietnamesische Angreifer nutzen kompromittierte Konten, um unbefugte Werbekampagnen durchzuführen, bei denen häufig betrügerische Produkte oder Dienstleistungen beworben werden, während die Kosten dem rechtmäßigen Kontoinhaber in Rechnung gestellt werden. Diese Aktivität generiert Einnahmen, während das gehackte Konto die Kosten trägt.

Betriebe zum Sammeln von Konten: Einige Akteure haben sich darauf spezialisiert, große Bestände an kompromittierten Konten anzuhäufen, die anschließend an andere Angreifer für verschiedene böswillige Zwecke vermietet oder verkauft werden, darunter nachfolgende Phishing-Kampagnen, Markenimitation und Finanzbetrug.
Die Entscheidung, schädliche Apps über legitime Kanäle wie den Apple App Store zu verbreiten, stellt eine wohlüberlegte Weiterentwicklung der Taktik dar. Durch die Nutzung vertrauenswürdiger Verbreitungsplattformen steigern diese Angreifer ihre Erfolgsquote erheblich und wirken dabei auf potenzielle Opfer glaubwürdiger.

Ablauf der Kampagne

1. Erster Kontakt: Die Empfänger erhalten E-Mails, die vorgeben, von Google Gemini oder OpenAI zu stammen, und in denen ihnen der Zugang zum Test neuer Tools zur Anzeigenverwaltung angeboten wird
2. App-Installation: Die Nutzer werden dazu aufgefordert, eine Anwendung im Stil von „ "“ Ads Manager" aus dem Apple App Store herunterzuladen.
3. Erfassung von Anmeldedaten: Beim Start zeigt die App anstelle des beworbenen KI-Werbetools eine Anmeldeseite für Facebook/Meta an.
4. Datenexfiltration: Anmeldedaten und möglicherweise Sitzungstoken werden an eine vom Angreifer kontrollierte Infrastruktur übertragen
5. Kontoübernahme: Angreifer verschaffen sich Zugriff auf den Facebook Business Manager, Werbekonten und Zahlungsmethoden

Die wahre Bedrohung

Nach der Installation weichen diese Apps vollständig von ihrem angegebenen Zweck ab. Anstatt KI-gestützte Werbetools bereitzustellen, bieten sie den Nutzern eine Facebook-/Meta-Anmeldung an, die in der Regel über eingebettete Webinhalte umgesetzt wird.

Diese betrügerische Benutzeroberfläche erfasst Benutzernamen, Passwörter und möglicherweise sitzungsbezogene Daten, die anschließend an vom Angreifer kontrollierte Server weitergeleitet werden. Die erbeuteten Zugangsdaten verschaffen Angreifern Zugriff auf die persönlichen Facebook-Konten der Opfer und – was noch schwerwiegender ist – auf deren „Business Manager“-Ressourcen. Dieser Zugriff ermöglicht es Angreifern, Folgendes zu tun:

• Durchführung nicht genehmigter Werbekampagnen
• Werbebudgets abziehen
• Zahlungsmethoden ändern
• Greifen Sie auf vertrauenswürdige Unternehmensseiten zu, um Folgebetrugsversuche zu erkennen
• Verkauf von gehackten Konten auf Schwarzmärkten

Öffentliche Bewertungen im App Store bestätigen den schädlichen Charakter dieser Anwendungen; Nutzer berichten von Datendiebstahl und unbefugtem Zugriff auf ihre Konten. Trotz dieser Warnungen blieben die Apps über legitime Vertriebskanäle erhältlich, was der Kampagne eine falsche Glaubwürdigkeit verlieh.

Merkmale der Kampagne

Die Angreifer hinter dieser Kampagne beweisen durch mehrere zentrale Taktiken ein hohes Maß an operativer Raffinesse.

Markenmissbrauch: Indem sie sich als bekannte KI-Plattformen ausgeben, die derzeit großes geschäftliches Interesse wecken, nutzen Angreifer die Bereitschaft von Unternehmen aus, neue Werbetechnologien zu erproben.

Legitime Verbreitung: Das Anbieten schädlicher Apps im offiziellen App Store von Apple verleiht diesen einen Anschein von Legitimität, der das Misstrauen der Nutzer umgehen kann. Viele Nutzer vertrauen Apps, die über offizielle Kanäle vertrieben werden, ohne diese zusätzlich zu überprüfen.

Zielgruppe: Die Kampagne richtet sich speziell an geschäftliche Nutzer, die über Werbebudgets und Zahlungsdaten verfügen, wodurch die potenziellen finanziellen Auswirkungen maximiert werden.

Wegwerf-Infrastruktur: Die Nutzung von offenbar nur einmal verwendbaren Entwicklerkonten (wie beispielsweise "– Uygar Dana," und "– Bertan Kana,") lässt darauf schließen, dass die Angreifer mit einer Entdeckung rechnen und die Wegwerfbarkeit in ihr Betriebsmodell integriert haben.

Indikatoren für eine Kompromittierung (IOCs)

Liste bösartiger App-Store-Einträge

Verdächtige Entwicklerkonten

Gemeinsame Themen

• Betreffzeilen, die auf ", Google Gemini LLC," oder ", ChatGPT," sowie Einladungen verweisen
• Informationen zu Tests ", Werbung" oder ", Unternehmen", Produkte
• Namenskonventionen für Apps, bei denen Namen von KI-Plattformen mit Begriffen aus der Werbebranche kombiniert werden (z. B. "Ads GPT," " GeminiAI Advertising")

Ziele

Hauptregionen: Vereinigte Staaten, Vereinigtes Königreich, Australien

Zielbranchen: In vielen Branchen, wobei die Zahlen im Einzelhandel, in der Reisebranche, im Krankenhauswesen und in der Gastronomie deutlich höher ausfallen.

Zielgruppe: Marketingfachleute und Social-Media-Manager, die möglicherweise über Administratorrechte für den Meta Business Manager, Werbekonten und Zahlungsmethoden verfügen.

Empfehlungen

Schulung zur Sensibilisierung der Benutzer für Sicherheitsfragen

• Informieren Sie Ihre Mitarbeiter über die spezifischen Merkmale dieser Kampagnen
• Schulen Sie Ihre Mitarbeiter darin, die Echtheit unaufgeforderter Einladungen zu überprüfen, insbesondere solcher, bei denen zur Installation von Apps aufgefordert wird
• Schulen Sie die Nutzer darin, vor dem Herunterladen einer Anwendung die Bewertungen und Rezensionen im App-Store zu prüfen, insbesondere bei Anwendungen, die die Eingabe von Anmeldedaten verlangen
• Führen Sie simulierte Phishing-Übungen mit KI-gestützten Szenarien zur Markenimitation durch, um die Bereitschaft Ihrer Organisation zu testen
• Weisen Sie darauf hin, dass seriöse Unternehmen den Zugang zu Beta-Produkten nur selten über unaufgeforderte E-Mails gewähren

Proaktive Bedrohungssuche

• Durchsuchen Sie die E-Mail-Empfangsprotokolle anhand der vom IOC aufgeführten

Diese Kampagne verdeutlicht, wie Angreifer das Interesse von Unternehmen an neuen Technologien weiterhin ausnutzen und damit eine ausgeklügelte Schattenwirtschaft fördern. Das vietnamesische Ökosystem für den Handel mit Social-Media-Konten stellt eine anhaltende Bedrohung für Unternehmen dar, die Budgets für Social-Media-Werbung verwalten. Durch die Kombination der Vortäuschung vertrauenswürdiger Marken mit legitimen Vertriebskanälen schaffen Angreifer überzeugende Social-Engineering-Szenarien, die herkömmliche Sicherheitsmaßnahmen umgehen können.