Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Απάτη διαφημίσεων IconAds

Απάτη διαφημίσεων IconAds

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Adware
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας αποκάλυψαν και διέλυσαν μια εκτεταμένη επιχείρηση απάτης με διαφημίσεις σε κινητά που αφορούσε εκατοντάδες παραπλανητικές εφαρμογές Android. Με την ονομασία IconAds, αυτή η καμπάνια έχει αξιοποιήσει εξελιγμένες τακτικές φοροδιαφυγής, έχει διεισδύσει σε επίσημα καταστήματα εφαρμογών και έχει εκμεταλλευτεί ανυποψίαστους χρήστες για τεράστια διαφημιστικά κέρδη.

IconAds: Μια κρυφή επιχείρηση διαφημιστικής απάτης μεταμφιεσμένη

Οι ερευνητές αποκάλυψαν πρόσφατα ένα δίκτυο απάτης διαφημίσεων Android με την ονομασία IconAds, το οποίο περιλαμβάνει 352 κακόβουλες εφαρμογές. Αυτές οι εφαρμογές σχεδιάστηκαν για να εμφανίζουν ενοχλητικές, εκτός πλαισίου διαφημίσεις απευθείας στις οθόνες των χρηστών, ενώ παράλληλα κρύβουν την παρουσία τους από το πρόγραμμα εκκίνησης της συσκευής, καθιστώντας σχεδόν αδύνατη τη μη αυτόματη αφαίρεση. Ευτυχώς, η Google έχει έκτοτε αφαιρέσει αυτές τις εφαρμογές από το Play Store.

Στο απόγειό της, η λειτουργία του IconAds ήταν υπεύθυνη για τη δημιουργία έως και 1,2 δισεκατομμυρίων αιτημάτων προσφοράς διαφημίσεων ημερησίως. Η επισκεψιμότητα προερχόταν κυρίως από τη Βραζιλία, το Μεξικό και τις Ηνωμένες Πολιτείες, γεγονός που υποδηλώνει μια ευρεία αλλά περιφερειακά επικεντρωμένη προσέγγιση στόχευσης.

Το IconAds δεν είναι εντελώς καινούργιο. Μοιράζεται χαρακτηριστικά με άλλες γνωστές απειλές που παρακολουθούνται με ονόματα όπως το HiddenAds και το Vapor, οι οποίες έχουν επανειλημμένα ξεφύγει από τις άμυνες του Play Store τουλάχιστον από το 2019.

Παραπλανητικές Τακτικές και Επίμονη Συμπεριφορά

Οι βασικές τακτικές πίσω από τα IconAds βασίζονται στην απροσεξία και την επιμονή. Αυτές οι εφαρμογές:

  • Χρησιμοποιήστε την απόκρυψη πληροφοριών που αφορούν συγκεκριμένες συσκευές κατά τη διάρκεια των επικοινωνιών δικτύου.
  • Να χρησιμοποιούν συνεπή μοτίβα ονοματοδοσίας για τους τομείς Command-and-Control (C2) τους.
  • Αντικαταστήστε την προεπιλεγμένη δραστηριότητα ΚΥΡΙΑΣ/ΕΚΚΙΝΗΣΗΣ της εφαρμογής με ένα ψευδώνυμο για να ελέγχετε τον τρόπο εμφάνισης και συμπεριφοράς της εφαρμογής.

Κατά την εγκατάσταση, η εφαρμογή εμφανίζει αρχικά μια κανονική ετικέτα και εικονίδιο. Ωστόσο, μόλις ξεκινήσει, ενεργοποιεί ένα κρυφό ψευδώνυμο δραστηριότητας που παραμένει μόνιμο, ακόμα και μετά από επανεκκινήσεις, με αποτέλεσμα η εφαρμογή να εξαφανίζεται από την αρχική οθόνη. Αυτό το τέχνασμα εμποδίζει τους χρήστες να εντοπίσουν ή να απεγκαταστήσουν εύκολα την εφαρμογή.

Ο απώτερος στόχος; Η προβολή παρενθετικών διαφημίσεων πλήρους οθόνης που διαταράσσουν τον χρήστη ανεξάρτητα από το ποια νόμιμη εφαρμογή χρησιμοποιείται.

Σε ορισμένες περιπτώσεις, οι παραλλαγές του IconAds μεταμφιέζονται σε Google Play Store ή άλλες αξιόπιστες εφαρμογές με την επωνυμία Google. Αυτές οι εφαρμογές-δόλωμα ανακατευθύνουν τους χρήστες σε νόμιμες εφαρμογές, ενώ εκτελούν σιωπηλά δόλια δραστηριότητα στο παρασκήνιο.

Διαφυγή και Εξέλιξη: Ένας Κινούμενος Στόχος

Καθώς το IconAds έχει εξελιχθεί, οι νεότερες εκδόσεις ενσωματώνουν πλέον πρόσθετα επίπεδα αποφυγής:

  • Έλεγχοι αδειών χρήσης που απενεργοποιούν κακόβουλη συμπεριφορά εάν η εφαρμογή φορτώνεται από το πλάι (μια συνηθισμένη τεχνική κατά την ανάλυση ασφαλείας).
  • Βελτιωμένη συσκότιση για να περιπλέξει τόσο τη στατική όσο και τη δυναμική επιθεώρηση.

Αυτές οι εφαρμογές έχουν επίσης σκόπιμα μικρή διάρκεια ζωής, συχνά καταργούνται γρήγορα μετά την ανίχνευση, μόνο και μόνο για να επανεισαχθούν με τροποποιημένο κώδικα και νέες ταυτότητες. Οι ερευνητές προειδοποιούν ότι τα IconAds πιθανότατα θα συνεχίσουν να προσαρμόζονται και να επανεμφανίζονται με διαφορετικές μορφές.

Καλειδοσκόπιο: Η Άνοδος του Κακού Δίδυμες Εφαρμογές

Σε μια σχετική ανακάλυψη, ειδικοί αποκάλυψαν το Kaleidoscope, μια επιχείρηση απάτης διαφημίσεων που χρησιμοποιεί αυτό που οι ερευνητές αποκαλούν τεχνική «κακού διδύμου». Αυτό το μοντέλο περιλαμβάνει δύο σχεδόν πανομοιότυπες εκδόσεις μιας εφαρμογής:

  • Ένα καλοήθη «δίδυμο-δόλωμα» που φιλοξενείται στο Google Play Store.
  • Ένα κακόβουλο «κακό δίδυμο» κυκλοφόρησε μέσω καταστημάτων εφαρμογών τρίτων ή πλαστών ιστότοπων.

Το κακόβουλο αντίστοιχο δημιουργεί δόλιες εμφανίσεις διαφημίσεων χρησιμοποιώντας διαφημίσεις πλήρους οθόνης, χωρίς καμία αλληλεπίδραση με τον χρήστη, ενώ παράλληλα αξιοποιεί το ίδιο αναγνωριστικό εφαρμογής με το δόλωμα για να ξεγελάσει τους διαφημιζόμενους ώστε να πληρώσουν για ψεύτικη αλληλεπίδραση.

Το Kaleidoscope είναι μια εξέλιξη ενός παρόμοιου συστήματος γνωστού ως Konfety, το οποίο αρχικά χρησιμοποιούσε το CaramelAds SDK. Στην τελευταία του μορφή, οι αναφορές στο CaramelAds έχουν αφαιρεθεί και οι βασικές του λειτουργίες έχουν επανενσωματωθεί σε νέα SDK όπως Leisure, Raccoon και Adsclub, για να εμποδίσουν την παρακολούθηση και την απόδοση.

Παγκόσμια Εμβέλεια και Εμπορικοί Δεσμοί

Μεταξύ Δεκεμβρίου 2024 και Μαΐου 2025, το Kaleidoscope επηρέασε ένα ευρύ φάσμα χρηστών Android, ιδιαίτερα στη Λατινική Αμερική, την Τουρκία, την Αίγυπτο και την Ινδία. Αυτές οι περιοχές είναι ιδιαίτερα ευάλωτες λόγω της υψηλής επικράτησης των καταστημάτων εφαρμογών τρίτων.

Τα βασικά χαρακτηριστικά του Καλειδοσκοπίου περιλαμβάνουν:

  • Οι ενδιάμεσες διαφημίσεις πλήρους οθόνης ενεργοποιούνται χωρίς την παρέμβαση του χρήστη.
  • Δόλιες προβολές διαφημίσεων που δρομολογούνται μέσω κακόβουλων εκδόσεων εφαρμογών.
  • Πλαστοπροσωπία νόμιμων αναγνωριστικών εφαρμογών για μεγιστοποίηση των εσόδων από διαφημίσεις.

Μεγάλο μέρος της δημιουργίας εσόδων από το Kaleidoscope έχει εντοπιστεί σε μια πορτογαλική εταιρεία με την επωνυμία Saturn Dynamic, η οποία ισχυρίζεται ότι παρέχει νόμιμες υπηρεσίες δημιουργίας εσόδων από διαφημίσεις. Ωστόσο, η υποδομή της φαίνεται να έπαιξε καθοριστικό ρόλο στην ενεργοποίηση μεγάλης κλίμακας απάτης μέσω διαφημίσεων μέσω της διανομής και της δημιουργίας εσόδων από αυτές τις παραπλανητικές εφαρμογές.

Τελικές Σκέψεις: Ένα Διαρκώς Μεταβαλλόμενο Τοπίο Απειλών

Τόσο το IconAds όσο και το Kaleidoscope καταδεικνύουν την εξελισσόμενη φύση της απάτης στις διαφημίσεις για κινητά. Αυτές οι λειτουργίες θολώνουν τα όρια μεταξύ νόμιμης και κακόβουλης συμπεριφοράς, συγκαλύπτοντας επιβλαβή δραστηριότητα πίσω από κατά τα άλλα ακίνδυνες εφαρμογές. Καθώς αυτές οι απειλές συνεχίζουν να αλλάζουν τακτικές, είναι κρίσιμο για τα καταστήματα εφαρμογών, τους προγραμματιστές και τους χρήστες να παραμένουν σε εγρήγορση και για τους επαγγελματίες στον κυβερνοχώρο να παραμένουν ένα βήμα μπροστά από τους ολοένα και πιο απρόσιτους μηχανισμούς απάτης.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,519
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...