Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware Podvod s reklamou na IconAds

Podvod s reklamou na IconAds

V roce Mezo v roce Mobilní malware, Adware
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili a rozebrali rozsáhlou podvodnou operaci s mobilní reklamou zahrnující stovky klamavých aplikací pro Android. Tato kampaň s názvem IconAds využívala sofistikované taktiky obcházení, infiltrovala oficiální obchody s aplikacemi a zneužívala nic netušící uživatele k masivním ziskům z reklamy.

IconAds: Nenápadná operace s reklamním podvodem v přestrojení

Výzkumníci nedávno odhalili podvodnou síť s reklamami pro Android s názvem IconAds, která se skládá z 352 škodlivých aplikací. Tyto aplikace byly navrženy tak, aby zobrazovaly rušivé, kontextové reklamy přímo na obrazovkách uživatelů a zároveň skrývaly svou přítomnost před spouštěčem zařízení, což jejich ruční odstranění téměř znemožňovalo. Naštěstí Google tyto aplikace od té doby z Obchodu Play odstranil.

V době svého vrcholu generovala platforma IconAds až 1,2 miliardy žádostí o nabídky reklam denně. Návštěvnost pocházela převážně z Brazílie, Mexika a Spojených států, což svědčí o širokém, ale regionálně zaměřeném přístupu k cílení.

IconAds není úplně nový. Sdílí vlastnosti s dalšími známými hrozbami sledovanými pod názvy jako HiddenAds a Vapor, které se opakovaně plíží kolem ochrany Obchodu Play nejméně od roku 2019.

Klamavé taktiky a přetrvávající chování

Základní taktiky IconAds se spoléhají na nenápadnost a vytrvalost. Tyto aplikace:

  • Použijte zmatkování ke skrytí informací specifických pro zařízení během síťové komunikace.
  • Používat konzistentní vzorce pojmenování pro své domény velení a řízení (C2).
  • Nahraďte výchozí aktivitu aplikace MAIN/LAUNCHER aliasem, který bude ovládat, jak se aplikace zobrazuje a chová.

Po instalaci aplikace zpočátku zobrazuje normální popisek a ikonu. Po spuštění se však aktivuje skrytý alias aktivity, který zůstává trvalý i po restartu, což způsobí, že aplikace zmizí z domovské obrazovky. Tato triková hra brání uživatelům ve snadném nalezení nebo odinstalování aplikace.

Konečný cíl? Zobrazovat vsunuté reklamy na celou obrazovku, které ruší uživatele bez ohledu na to, která legitimní aplikace je právě používána.

V některých případech se varianty IconAds maskují jako Obchod Google Play nebo jiné důvěryhodné aplikace značky Google. Tyto návnadové aplikace přesměrovávají uživatele na legitimní aplikace a zároveň na pozadí tiše provádějí podvodné aktivity.

Úniky a evoluce: Pohyblivý cíl

S vývojem IconAds nyní novější verze zahrnují další vrstvy obcházení:

  • Kontroly licencí, které deaktivují škodlivé chování, pokud je aplikace načtena z externího zdroje (běžná technika během bezpečnostní analýzy).
  • Vylepšené zmatkování pro ztížení statické i dynamické inspekce.

Tyto aplikace mají také záměrně krátkou životnost, často jsou po odhalení rychle odstraněny, jen aby byly znovu zavedeny s upraveným kódem a novými identitami. Výzkumníci varují, že IconAds se pravděpodobně budou i nadále přizpůsobovat a znovu se objevovat pod různými podobami.

Kaleidoskop: Vzestup zlých dvojčat

V souvisejícím objevu odborníci odhalili Kaleidoscope, operaci s reklamními podvody, která využívá to, co vědci nazývají technikou „zlého dvojčete“. Tento model zahrnuje dvě téměř identické verze aplikace:

  • Neškodné „návnadné dvojče“ hostované v Obchodě Google Play.
  • Škodlivé „zlé dvojče“ šířené prostřednictvím obchodů s aplikacemi třetích stran nebo padělaných webových stránek.

Zlomyslný protějšek generuje podvodná zobrazení reklam pomocí celoobrazovkových reklam bez jakékoli interakce s uživatelem a zároveň využívá stejné ID aplikace jako návnada, aby inzerenty oklamal a přiměl je platit za falešnou interakci.

Kaleidoscope je vývojem podobného schématu známého jako Konfety, které původně používalo CaramelAds SDK. V jeho nejnovější podobě byly odkazy na CaramelAds odstraněny a jeho základní funkce byly znovu integrovány do nově pojmenovaných SDK, jako jsou Leisure, Raccoon a Adsclub, aby se zabránilo sledování a atribuci.

Globální dosah a obchodní vazby

Mezi prosincem 2024 a květnem 2025 ovlivnil Kaleidoscope širokou škálu uživatelů Androidu, zejména v Latinské Americe, Turecku, Egyptě a Indii. Tyto regiony jsou obzvláště zranitelné kvůli vysokému výskytu obchodů s aplikacemi třetích stran.

Mezi klíčové vlastnosti Kaleidoskopu patří:

  • Vsunuté reklamy na celou obrazovku spouštěné bez zásahu uživatele.
  • Podvodné zhlédnutí reklam směrované přes škodlivé verze aplikací.
  • Vydávání se za legitimní ID aplikací za účelem maximalizace příjmů z reklamy.

Velká část monetizace Kaleidoscope byla vysledována k portugalské společnosti Saturn Dynamic, která tvrdí, že poskytuje legitimní služby monetizace reklamy. Zdá se však, že její infrastruktura sehrála klíčovou roli v umožnění rozsáhlých reklamních podvodů prostřednictvím distribuce a monetizace těchto klamavých aplikací.

Závěrečné myšlenky: Neustále se měnící prostředí hrozeb

IconAds i Kaleidoscope ilustrují vyvíjející se povahu podvodů s mobilní reklamou. Tyto operace stírají hranici mezi legitimním a škodlivým chováním tím, že maskují škodlivou aktivitu za jinak neškodnými aplikacemi. Vzhledem k tomu, že tyto hrozby neustále mění taktiky, je zásadní, aby obchody s aplikacemi, vývojáři i uživatelé zůstali ostražití, a aby odborníci na kybernetickou bezpečnost byli o krok napřed před stále vyhýbavějšími mechanismy podvodů.

Trendy

Nejvíce shlédnuto

Načítání...