عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرامج الضارة للأجهزة المحمولة احتيال إعلانات IconAds

احتيال إعلانات IconAds

بواسطة Mezo في البرامج الضارة للأجهزة المحمولة, برامج إعلانية
ترجمة الى:

كشف باحثون في مجال الأمن السيبراني وفككوا عملية احتيال إعلانية واسعة النطاق على الهواتف المحمولة، شملت مئات تطبيقات أندرويد الخادعة. استخدمت هذه الحملة، التي أُطلق عليها اسم IconAds، أساليب تهرب متطورة، وتسللت إلى متاجر التطبيقات الرسمية، واستغلت مستخدمين غافلين لتحقيق أرباح إعلانية هائلة.

IconAds: عملية احتيال إعلانية خفية متخفية

اكتشف باحثون مؤخرًا شبكة احتيال إعلانات على نظام أندرويد تُسمى IconAds، وتضم 352 تطبيقًا خبيثًا. صُممت هذه التطبيقات لعرض إعلانات مزعجة خارج السياق مباشرةً على شاشات المستخدمين، مع إخفاء وجودها عن مُشغّل الجهاز، مما يجعل إزالتها يدويًا شبه مستحيلة. لحسن الحظ، أزالت جوجل هذه التطبيقات من متجر Play منذ ذلك الحين.

في ذروتها، كانت عمليات IconAds مسؤولة عن توليد ما يصل إلى 1.2 مليار طلب عرض سعر إعلاني يوميًا. وقد جاءت هذه الزيارات بشكل رئيسي من البرازيل والمكسيك والولايات المتحدة، مما يشير إلى اتباع نهج استهداف واسع النطاق ولكنه يركز على المناطق.

IconAds ليس جديدًا تمامًا. يشترك في خصائصه مع تهديدات أخرى معروفة تُتبّع تحت أسماء مثل HiddenAds وVapor، والتي كانت تتسلل مرارًا وتكرارًا عبر دفاعات متجر Play منذ عام ٢٠١٩ على الأقل.

التكتيكات الخادعة والسلوك المستمر

تعتمد التكتيكات الأساسية وراء IconAds على التخفي والمثابرة. هذه التطبيقات:

  • استخدم التعتيم لإخفاء المعلومات الخاصة بالجهاز أثناء اتصالات الشبكة.
  • استخدم أنماط التسمية المتسقة لمجالات القيادة والتحكم (C2).
  • استبدل نشاط MAIN/LAUNCHER الافتراضي للتطبيق باسم مستعار للتحكم في كيفية ظهور التطبيق وسلوكه.

عند التثبيت، يعرض التطبيق في البداية اسمًا وأيقونة عاديين. لكن بمجرد تشغيله، يُفعّل نشاطًا مخفيًا يبقى مستمرًا حتى بعد إعادة التشغيل، مما يؤدي إلى اختفاء التطبيق من الشاشة الرئيسية. هذه الحيلة تمنع المستخدمين من تحديد موقع التطبيق أو إزالته بسهولة.

الهدف النهائي؟ عرض إعلانات بينية بملء الشاشة تُزعج المستخدم بغض النظر عن التطبيق المُستخدم.

في بعض الحالات، تنتحل برمجيات IconAds شكل متجر Google Play أو تطبيقات موثوقة أخرى تحمل علامة Google التجارية. تُعيد هذه التطبيقات الوهمية توجيه المستخدمين إلى تطبيقات شرعية، بينما تُنفّذ أنشطة احتيالية خفية في الخلفية.

التهرب والتطور: هدف متحرك

مع تطور IconAds، تتضمن الإصدارات الأحدث الآن طبقات إضافية من التهرب:

  • عمليات التحقق من الترخيص التي تعمل على إلغاء تنشيط السلوك الضار إذا تم تحميل التطبيق جانبيًا (وهي تقنية شائعة أثناء تحليل الأمان).
  • تم تعزيز التعتيم لتعقيد التفتيش الثابت والديناميكي.

هذه التطبيقات أيضًا لها عمر افتراضي قصير عمدًا، وغالبًا ما تُزال بسرعة بعد اكتشافها، ثم تُعاد إلى الواجهة برموز مُعدّلة وهويات جديدة. يُحذّر الباحثون من أن IconAds ستواصل على الأرجح التكيف والظهور من جديد تحت مسميات مختلفة.

كاليدوسكوب: صعود تطبيقات التوأم الشرير

في اكتشافٍ ذي صلة، كشف الخبراء عن عملية احتيال إعلاني تُسمى "كالايدوسكوب" (Kaleidoscope)، تستخدم ما يُطلق عليه الباحثون تقنية "التوأم الشرير". يتضمن هذا النموذج نسختين متطابقتين تقريبًا من تطبيق واحد:

  • توأم وهمي حميد مستضاف على متجر Google Play.
  • توأم شرير خبيث ينتشر عبر متاجر التطبيقات الخارجية أو مواقع الويب المزيفة.

يقوم النظير الخبيث بإنشاء إعلانات احتيالية باستخدام إعلانات ملء الشاشة، دون أي تفاعل من المستخدم، مع الاستفادة من معرف التطبيق نفسه كطُعم لخداع المعلنين لدفع ثمن المشاركة المزيفة.

Kaleidoscope هو تطويرٌ لنظامٍ مشابه يُعرف باسم Konfety، والذي استخدم في الأصل مجموعة أدوات تطوير البرامج CaramelAds. في أحدث إصدارٍ له، تم حذف الإشارات إلى CaramelAds، وأُعيد دمج وظائفه الأساسية في مجموعات أدوات تطوير البرامج المُسمّاة حديثًا مثل Leisure وRaccoon وAdsclub، وذلك لمنع التتبع والإسناد.

الوصول العالمي والعلاقات التجارية

بين ديسمبر 2024 ومايو 2025، أثّر Kaleidoscope على شريحة واسعة من مستخدمي Android، لا سيما في أمريكا اللاتينية وتركيا ومصر والهند. هذه المناطق معرضة للخطر بشكل خاص بسبب الانتشار الواسع لمتاجر التطبيقات الخارجية.

تشمل الخصائص الرئيسية لـ Kaleidoscope ما يلي:

  • إعلانات بينية كاملة الشاشة يتم تشغيلها دون إدخال المستخدم.
  • يتم توجيه مشاهدات الإعلانات الاحتيالية من خلال إصدارات التطبيقات الضارة.
  • انتحال هويات معرفات التطبيقات المشروعة لتحقيق أقصى قدر من إيرادات الإعلانات.

يعود جزء كبير من أرباح Kaleidoscope إلى شركة برتغالية تُدعى Saturn Dynamic، تدّعي تقديم خدمات شرعية لتحقيق الربح من الإعلانات. ومع ذلك، يبدو أن بنيتها التحتية ساهمت بشكل كبير في تمكين عمليات احتيال إعلانية واسعة النطاق من خلال توزيع هذه التطبيقات الخادعة وتحقيق الربح منها.

الأفكار النهائية: مشهد التهديدات المتغير باستمرار

يوضح كلٌّ من IconAds وKaleidoscope الطبيعةَ المتطورة للاحتيال في إعلانات الأجهزة المحمولة. تُطمس هذه العمليات الخط الفاصل بين السلوك المشروع والسلوك الخبيث من خلال إخفاء أنشطة ضارة خلف تطبيقات تبدو في العادة حميدة. ومع استمرار هذه التهديدات في تغيير أساليبها، من الضروري أن تظل متاجر التطبيقات والمطورون والمستخدمون على حد سواء يقظين، وأن يظل متخصصو الأمن السيبراني متقدمين بخطوة على آليات الاحتيال التي تزداد مراوغةً.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,519
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...