Frau publicitari d'IconAds
Investigadors de ciberseguretat han descobert i desmantellat una extensa operació de frau publicitari per a mòbils que implicava centenars d'aplicacions enganyoses per a Android. Anomenada IconAds, aquesta campanya ha aprofitat tàctiques d'evasió sofisticades, s'ha infiltrat a botigues d'aplicacions oficials i ha explotat usuaris desprevinguts per obtenir beneficis publicitaris massius.
Taula de continguts
IconAds: una operació de frau publicitari furtiva disfressada
Recentment, uns investigadors han descobert una xarxa fraudulenta d'anuncis a Android anomenada IconAds, que comprenia 352 aplicacions malicioses. Aquestes aplicacions estaven dissenyades per mostrar anuncis intrusius i fora de context directament a les pantalles dels usuaris, alhora que ocultaven la seva presència des del llançador del dispositiu, cosa que feia que l'eliminació manual fos gairebé impossible. Afortunadament, Google ha eliminat aquestes aplicacions de la Play Store.
En el seu punt àlgid, l'operació IconAds va ser responsable de generar fins a 1.200 milions de sol·licituds d'oferta publicitària diàriament. El trànsit provenia principalment del Brasil, Mèxic i els Estats Units, cosa que indica un enfocament de segmentació ampli però centrat en la regió.
IconAds no és completament nou. Comparteix característiques amb altres amenaces conegudes que es rastregen amb noms com HiddenAds i Vapor, que han estat repetidament escapant les defenses de Play Store des d'almenys el 2019.
Tàctiques enganyoses i comportament persistent
Les tàctiques principals darrere d'IconAds es basen en la furtivitat i la persistència. Aquestes aplicacions:
- Utilitzeu l'ofuscació per ocultar informació específica del dispositiu durant les comunicacions de xarxa.
- Emprar patrons de noms consistents per als seus dominis de comandament i control (C2).
- Substitueix l'activitat MAIN/LAUNCHER per defecte de l'aplicació per un àlies per controlar l'aspecte i el comportament de l'aplicació.
En instal·lar-se, l'aplicació mostra inicialment una etiqueta i una icona normals. Tanmateix, un cop iniciada, activa un àlies d'activitat ocult que roman persistent, fins i tot després de reiniciar-se, cosa que fa que l'aplicació desaparegui de la pantalla d'inici. Aquest truc impedeix que els usuaris localitzin o desinstal·lin fàcilment l'aplicació.
L'objectiu final? Publicar anuncis intersticials a pantalla completa que interrompin l'usuari independentment de quina aplicació legítima estigui en ús.
En alguns casos, les variants d'IconAds es fan passar per Google Play Store o altres aplicacions de confiança de la marca Google. Aquestes aplicacions esquer redirigeixen els usuaris a aplicacions legítimes mentre executen silenciosament activitats fraudulentes en segon pla.
Evasió i evolució: un objectiu mòbil
A mesura que IconAds ha evolucionat, les noves versions incorporen capes addicionals d'evasió:
- Comprovacions de llicència que desactiven el comportament maliciós si l'aplicació es carrega lateralment (una tècnica habitual durant l'anàlisi de seguretat).
- Ofuscació millorada per complicar tant la inspecció estàtica com la dinàmica.
Aquestes aplicacions també tenen una vida útil intencionadament curta, sovint s'eliminen ràpidament després de la detecció, només per ser reintroduïdes amb codi modificat i identitats noves. Els investigadors alerten que és probable que els IconAds continuïn adaptant-se i reapareixent sota diferents disfresses.
Calidoscopi: L’ascens del mal bessons Aplicacions
En una descoberta relacionada, els experts han exposat Kaleidoscope, una operació de frau publicitari que utilitza el que els investigadors anomenen la tècnica del "bessó malvat". Aquest model implica dues versions gairebé idèntiques d'una aplicació:
- Un "bessó esquer" benigne allotjat a la Google Play Store.
- Un "bessó malvat" maliciós circulava a través de botigues d'aplicacions de tercers o llocs web falsificats.
La contrapart malèvola genera impressions d'anuncis fraudulentes mitjançant anuncis a pantalla completa, sense cap interacció de l'usuari, mentre aprofita el mateix ID d'aplicació que l'esquer per enganyar els anunciants perquè paguin per una interacció falsa.
Kaleidoscope és una evolució d'un esquema similar conegut com a Konfety, que originalment utilitzava el SDK de CaramelAds. En la seva darrera versió, s'han eliminat les referències a CaramelAds i les seves funcions bàsiques s'han reintegrat en SDK recentment anomenats com ara Leisure, Raccoon i Adsclub per dificultar el seguiment i l'atribució.
Abast global i vincles comercials
Entre desembre de 2024 i maig de 2025, Kaleidoscope ha afectat una àmplia gamma d'usuaris d'Android, especialment a l'Amèrica Llatina, Turquia, Egipte i l'Índia. Aquestes regions són especialment vulnerables a causa de l'alta prevalença de botigues d'aplicacions de tercers.
Les característiques principals del calidoscopi inclouen:
- Anuncis intersticials a pantalla completa activats sense intervenció de l'usuari.
- Visualitzacions d'anuncis fraudulentes encaminades a través de versions d'aplicacions malicioses.
- Suplantació d'ID d'aplicacions legítimes per maximitzar els ingressos publicitaris.
Gran part de la monetització de Kaleidoscope s'ha atribuït a una empresa portuguesa anomenada Saturn Dynamic, que afirma oferir serveis legítims de monetització d'anuncis. Tanmateix, la seva infraestructura sembla haver estat fonamental per permetre el frau publicitari a gran escala mitjançant la distribució i monetització d'aquestes aplicacions enganyoses.
Reflexions finals: un panorama d’amenaces en constant canvi
Tant IconAds com Kaleidoscope il·lustren la naturalesa canviant del frau publicitari per a mòbils. Aquestes operacions desdibuixen la línia entre el comportament legítim i el maliciós amagant activitats nocives darrere d'aplicacions que d'altra banda serien benignes. A mesura que aquestes amenaces continuen canviant de tàctica, és fonamental que les botigues d'aplicacions, els desenvolupadors i els usuaris es mantinguin alerta i que els professionals de la ciberseguretat es mantinguin un pas per davant dels mecanismes de frau cada cop més evasius.
