Rabattilbud med flere licenser
Trusseldatabase Mobil malware IconAds-annoncesvindel

IconAds-annoncesvindel

Med Mezo i Mobil malware, Adware
Oversæt til:

Cybersikkerhedsforskere har afsløret og opløst en omfattende mobilannoncesvindeloperation, der involverer hundredvis af vildledende Android-applikationer. Kampagnen, der kaldes IconAds, har udnyttet sofistikerede undvigelsestaktikker, infiltreret officielle appbutikker og udnyttet intetanende brugere til massive reklameprofitter.

IconAds: En skjult annoncesvindeloperation i forklædning

Forskere har for nylig afsløret et Android-annoncesvindelnetværk kaldet IconAds, der består af 352 ondsindede applikationer. Disse apps var designet til at vise påtrængende annoncer uden kontekst direkte på brugernes skærme, mens de skjulte deres tilstedeværelse fra enhedens launcher, hvilket gjorde manuel fjernelse næsten umulig. Heldigvis har Google siden fjernet disse apps fra Play Butik.

På sit højdepunkt var IconAds-operationen ansvarlig for at generere op til 1,2 milliarder annoncebudsanmodninger dagligt. Trafikken kom primært fra Brasilien, Mexico og USA, hvilket peger på en bred, men regionalt fokuseret målretningstilgang.

IconAds er ikke helt nyt. Det deler karakteristika med andre kendte trusler, der spores under navne som HiddenAds og Vapor, som gentagne gange har sneget sig forbi Play Store-forsvar siden mindst 2019.

Vildledende taktikker og vedvarende adfærd

Kernetaktikkerne bag IconAds er afhængige af stealth og vedholdenhed. Disse apps:

  • Brug sløring til at skjule enhedsspecifikke oplysninger under netværkskommunikation.
  • Anvend ensartede navngivningsmønstre for deres kommando-og-kontrol (C2) domæner.
  • Erstat appens standardaktivitet MAIN/LAUNCHER med et alias for at styre, hvordan appen vises og opfører sig.

Ved installation viser appen først en normal etiket og ikon. Når den først er startet, aktiverer den dog et skjult aktivitetsalias, der forbliver permanent, selv efter genstart, hvilket får appen til at forsvinde fra startskærmen. Denne trick forhindrer brugerne i nemt at finde eller afinstallere applikationen.

Det ultimative mål? Vise mellemliggende annoncer i fuld skærm, der forstyrrer brugeren, uanset hvilken legitim app der er i brug.

I nogle tilfælde udgiver IconAds-varianter sig for at være Google Play Butik eller andre betroede Google-mærkede apps. Disse lokkeapps omdirigerer brugerne til legitime apps, mens de lydløst udfører svigagtig aktivitet i baggrunden.

Undvigelse og evolution: Et bevægeligt mål

Efterhånden som IconAds har udviklet sig, inkorporerer nyere versioner nu yderligere lag af undvigelse:

  • Licenstjek, der deaktiverer ondsindet adfærd, hvis appen sideloades (en almindelig teknik under sikkerhedsanalyse).
  • Forbedret obfuskation for at komplicere både statisk og dynamisk inspektion.

Disse apps har også bevidst korte levetider, ofte fjernet hurtigt efter opdagelse, kun for at blive genintroduceret med modificeret kode og nye identiteter. Forskere advarer om, at IconAds sandsynligvis vil fortsætte med at tilpasse sig og dukke op igen under andre forklædninger.

Kaleidoskop: De onde tvillingers fremkomst-apps

I en relateret opdagelse har eksperter afsløret Kaleidoscope, en annoncesvindeloperation, der anvender det, som forskere kalder den 'onde tvilling'-teknik. Denne model involverer to næsten identiske versioner af en app:

  • En godartet 'lokkefugletvilling', der hostes i Google Play Butik.
  • En ondsindet 'ond tvilling' cirkulerede via tredjeparts appbutikker eller forfalskede websteder.

Den ondsindede modpart genererer falske annoncevisninger ved hjælp af fuldskærmsannoncer uden brugerinteraktion, samtidig med at den udnytter det samme app-ID som lokkefuglen til at narre annoncører til at betale for falsk engagement.

Kaleidoscope er en videreudvikling af et lignende system kendt som Konfety, der oprindeligt brugte CaramelAds SDK. I sin seneste form er referencer til CaramelAds blevet fjernet, og dets kernefunktioner er blevet genintegreret i nyligt navngivne SDK'er som Leisure, Raccoon og Adsclub for at hindre sporing og attribution.

Global rækkevidde og kommercielle forbindelser

Mellem december 2024 og maj 2025 har Kaleidoscope påvirket en bred gruppe Android-brugere, især i Latinamerika, Tyrkiet, Egypten og Indien. Disse regioner er særligt sårbare på grund af den høje udbredelse af tredjepartsappbutikker.

Nøgleegenskaber ved Kaleidoskop inkluderer:

  • Interstitielle annoncer i fuld skærm aktiveres uden brugerinput.
  • Svigagtige annoncevisninger dirigeres via ondsindede appversioner.
  • Efterligning af legitime app-id'er for at maksimere annonceindtægter.

Meget af Kaleidoscopes monetisering er blevet sporet tilbage til et portugisisk firma ved navn Saturn Dynamic, som hævder at levere legitime tjenester til monetisering af annoncer. Dets infrastruktur ser dog ud til at have været medvirkende til at muliggøre storstilet annoncesvindel gennem distribution og monetisering af disse vildledende apps.

Afsluttende tanker: Et trusselsbillede i konstant forandring

Både IconAds og Kaleidoscope illustrerer den udviklende karakter af mobilannoncesvindel. Disse operationer udvisker grænsen mellem legitim og ondsindet adfærd ved at skjule skadelig aktivitet bag ellers godartede apps. Efterhånden som disse trusler fortsætter med at ændre taktikker, er det afgørende for appbutikker, udviklere og brugere at forblive årvågne, og for cybersikkerhedsprofessionelle at være et skridt foran de stadig mere undvigende svindelmekanismer.

Trending

Mest sete

Indlæser...