Измама с реклами на IconAds

Изследователи по киберсигурност разкриха и разбиха мащабна операция за измама с мобилни реклами, включваща стотици подвеждащи приложения за Android. Наречена IconAds, тази кампания е използвала сложни тактики за избягване, е проникнала в официални магазини за приложения и е експлоатирала нищо неподозиращи потребители за огромни печалби от реклама.

IconAds: Прикрита операция за рекламна измама

Наскоро изследователи разкриха мрежа за рекламни измами за Android, наречена IconAds, състояща се от 352 злонамерени приложения. Тези приложения са проектирани да показват натрапчиви, извън контекст реклами директно на екраните на потребителите, като същевременно скриват присъствието си от стартовия панел на устройството, което прави ръчното премахване почти невъзможно. За щастие, Google оттогава премахна тези приложения от Play Store.

В пика си, операцията IconAds е била отговорна за генерирането на до 1,2 милиарда заявки за рекламни оферти дневно. Трафикът е идвал предимно от Бразилия, Мексико и Съединените щати, което показва широк, но регионално фокусиран подход за таргетиране.

IconAds не е съвсем нова. Тя споделя характеристики с други известни заплахи, проследявани под имена като HiddenAds и Vapor, които многократно се промъкват през защитите на Play Store поне от 2019 г.

Подвеждащи тактики и постоянно поведение

Основните тактики зад IconAds разчитат на скритост и постоянство. Тези приложения:

• Използвайте обфускация, за да скриете специфична за устройството информация по време на мрежова комуникация.
• Да използват последователни модели на именуване за своите домейни за командване и контрол (C2).
• Заменете активността по подразбиране MAIN/LAUNCHER на приложението с псевдоним, за да контролирате как приложението се появява и се държи.

След инсталиране приложението първоначално показва нормален етикет и икона. След стартиране обаче то активира скрит псевдоним на активност, който остава постоянен дори след рестартиране, което води до изчезване на приложението от началния екран. Тази ловкост не позволява на потребителите лесно да намерят или деинсталират приложението.

Крайната цел? Да се показват реклами на цял екран, които да пречат на потребителя, независимо кое легитимно приложение се използва.

В някои случаи, вариантите на IconAds се маскират като Google Play Store или други надеждни приложения с марката Google. Тези приложения-примамки пренасочват потребителите към легитимни приложения, докато тихо извършват измамна дейност във фонов режим.

Избягване и еволюция: движеща се цел

С развитието на IconAds, по-новите версии вече включват допълнителни слоеве за избягване:

• Проверки на лицензи, които деактивират злонамерено поведение, ако приложението е заредено странично (често срещана техника по време на анализ на сигурността).
• Подобрено обфускация, за да се усложни както статичната, така и динамичната проверка.

Тези приложения също така имат умишлено кратък живот, често се премахват бързо след откриването им, само за да бъдат въведени отново с модифициран код и нови идентичности. Изследователите предупреждават, че IconAds вероятно ще продължат да се адаптират и да се появяват отново под различни прикрития.

Калейдоскоп: Възходът на злите приложения за близнаци

В свързано с това откритие, експерти разкриха Kaleidoscope, операция за рекламна измама, която използва това, което изследователите наричат техниката на „злия близнак“. Този модел включва две почти идентични версии на приложение:

• Доброкачествен „примамлив близнак“, хостван в Google Play Store.
• Злонамерен „зъл близнак“, разпространяван чрез магазини за приложения на трети страни или фалшиви уебсайтове.

Злонамереният партньор генерира измамни рекламни импресии, използвайки реклами на цял екран, без никаква намеса от страна на потребителя, като същевременно използва същия идентификатор на приложението като примамката, за да подмами рекламодателите да плащат за фалшиво взаимодействие.

Kaleidoscope е еволюция на подобна схема, известна като Konfety, която първоначално използваше CaramelAds SDK. В най-новата си форма препратките към CaramelAds са премахнати, а основните му функции са реинтегрирани в новоименувани SDK като Leisure, Raccoon и Adsclub, за да се възпрепятства проследяването и атрибуцията.

Глобален обхват и търговски връзки

Между декември 2024 г. и май 2025 г. Kaleidoscope е засегнал широк кръг от потребители на Android, особено в Латинска Америка, Турция, Египет и Индия. Тези региони са особено уязвими поради високото разпространение на магазини за приложения на трети страни.

Основните характеристики на Калейдоскопа включват:

• Рекламни заставки на цял екран, задействани без потребителско взаимодействие.
• Измамни рекламни преглеждания, пренасочени през злонамерени версии на приложения.
• Представяне за легитимни идентификатори на приложения с цел увеличаване на приходите от реклами.

Голяма част от монетизацията на Kaleidoscope е проследена до португалска компания на име Saturn Dynamic, която твърди, че предоставя легитимни услуги за монетизация на реклами. Изглежда обаче, че нейната инфраструктура е изиграла ключова роля за осъществяването на мащабни рекламни измами чрез разпространението и монетизацията на тези подвеждащи приложения.

Заключителни мисли: Постоянно променящ се пейзаж на заплахите

Както IconAds, така и Kaleidoscope илюстрират развиващия се характер на измамите с мобилни реклами. Тези операции размиват границата между легитимно и злонамерено поведение, като прикриват вредна дейност зад иначе безобидни приложения. Тъй като тези заплахи продължават да променят тактиките, е изключително важно магазините за приложения, разработчиците и потребителите да останат бдителни, а специалистите по киберсигурност да бъдат с една крачка пред все по-уклончивите механизми за измами.