Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Mobiilne pahavara IconAds reklaamipettus

IconAds reklaamipettus

Aastaks Mezo aastal Mobiilne pahavara, Reklaamvara
Tõlgi:

Küberturvalisuse uurijad on paljastanud ja lammutanud laiaulatusliku mobiilireklaamide pettuseoperatsiooni, mis hõlmas sadu petturlikke Androidi rakendusi. See IconAdsiks kutsutud kampaania on kasutanud keerukaid pettustektikaid, tunginud ametlikesse rakenduste poodidesse ja ära kasutanud pahaaimamatuid kasutajaid tohutu reklaamikasumi teenimiseks.

IconAds: varjatud reklaamipettuste operatsioon

Hiljuti avastasid teadlased Androidi reklaamipettuste võrgustiku nimega IconAds, mis koosnes 352 pahatahtlikust rakendusest. Need rakendused olid loodud kuvama pealetükkivaid ja kontekstist väljas reklaame otse kasutajate ekraanidel, varjates samal ajal oma kohalolekut seadme käivitaja eest, muutes käsitsi eemaldamise peaaegu võimatuks. Õnneks on Google need rakendused Play poest eemaldanud.

Tipphetkel genereeris IconAds kuni 1,2 miljardit reklaamipakkumise päringut päevas. Liiklus pärines peamiselt Brasiiliast, Mehhikost ja Ameerika Ühendriikidest, mis viitab laiale, kuid piirkondlikult keskendunud sihtimisstrateegiale.

IconAds ei ole täiesti uus. Sellel on ühiseid omadusi teiste teadaolevate ohtudega, mida jälgitakse selliste nimede all nagu HiddenAds ja Vapor ning mis on vähemalt 2019. aastast alates korduvalt Play poe kaitsest mööda hiilinud.

Petlik taktika ja püsiv käitumine

IconAdsi põhitaktika tugineb varjamisele ja püsivusele. Need rakendused:

  • Kasutage võrguühenduse ajal seadmepõhise teabe peitmiseks hägustamist.
  • Kasutage oma juhtimis- ja kontrolli (C2) domeenide jaoks ühtseid nimetamismustreid.
  • Asenda rakenduse vaikesäte PÕHI/KÄIVITUS aliasega, et juhtida rakenduse välimust ja käitumist.

Installimisel kuvab rakendus esialgu tavalist silti ja ikooni. Pärast käivitamist aktiveerib see aga peidetud tegevuse – varjunime, mis jääb püsima isegi pärast taaskäivitamist, mistõttu rakendus kaob avakuvalt. See kavalus takistab kasutajatel rakenduse lihtsat leidmist või desinstallimist.

Lõppeesmärk? Kuvada täisekraanil kuvatavaid vahereklaame, mis häirivad kasutajat olenemata sellest, millist õigustatud rakendust kasutatakse.

Mõnel juhul maskeeruvad IconAdsi variandid Google Play poe või muude usaldusväärsete Google'i kaubamärgiga rakendusteks. Need peibutusrakendused suunavad kasutajad õigustatud rakendustesse, tehes samal ajal taustal vaikselt petturlikku tegevust.

Põgenemine ja evolutsioon: liikuv sihtmärk

IconAdsi arenedes on uuemad versioonid nüüd lisanud täiendavaid vältimise kihte:

  • Litsentsikontrollid, mis deaktiveerivad pahatahtliku käitumise, kui rakendus on külglaaditud (levinud tehnika turvaanalüüsi ajal).
  • Täiustatud hägustamine, mis muudab nii staatilise kui ka dünaamilise kontrolli keerulisemaks.

Neil rakendustel on ka tahtlikult lühike eluiga, need eemaldatakse sageli pärast tuvastamist kiiresti, et seejärel uuesti kasutusele võtta muudetud koodi ja uute identiteetidega. Teadlased hoiatavad, et IconAds tõenäoliselt jätkab kohanemist ja ilmub uuesti välja erinevate kujunduste all.

Kaleidoskoop: Kurjuse tõus kaksikrakendused

Seotud avastuses on eksperdid paljastanud Kaleidoskoobi, reklaamipettuse operatsiooni, mis kasutab teadlaste poolt „kurja kaksiku“ tehnikat. See mudel hõlmab rakenduse kahte peaaegu identset versiooni:

  • Google Play poes majutatud healoomuline „peibutuskaksikloom“.
  • Pahatahtlik „kuri kaksik” levis kolmandate osapoolte rakenduste poodide või võltsitud veebisaitide kaudu.

Pahatahtlik vaste genereerib petturlikke reklaaminäitamisi täisekraanireklaamide abil ilma igasuguse kasutaja sekkumiseta, kasutades samal ajal sama rakenduse ID-d kui peibutist, et meelitada reklaamijaid võltsitud suhtluse eest maksma.

Kaleidoscope on sarnase skeemi Konfety edasiarendus, mis algselt kasutas CaramelAds SDK-d. Selle uusimas versioonis on viited CaramelAdsile eemaldatud ja selle põhifunktsioonid on taasintegreeritud uutesse SDK-desse nagu Leisure, Raccoon ja Adsclub, et takistada jälgimist ja omistamist.

Globaalne ulatus ja ärisidemed

Ajavahemikus detsembrist 2024 kuni maini 2025 mõjutas Kaleidoscope laia Androidi kasutajate ringi, eriti Ladina-Ameerikas, Türgis, Egiptuses ja Indias. Need piirkonnad on eriti haavatavad kolmandate osapoolte rakenduste poodide laialdase levimuse tõttu.

Kaleidoskoobi peamised omadused on järgmised:

  • Täisekraanil kuvatavad vahereklaamid käivituvad ilma kasutaja sisendita.
  • Petturlike reklaamide vaatamised suunatakse pahatahtlike rakenduse versioonide kaudu.
  • Reklaamitulu maksimeerimiseks seaduslike rakenduse ID-de jäljendamine.

Suur osa Kaleidoscope'i monetiseerimisest on seostatav Portugali ettevõttega nimega Saturn Dynamic, mis väidab end pakkuvat seaduslikke reklaamide monetiseerimisteenuseid. Siiski näib, et selle infrastruktuur on olnud oluline osa ulatusliku reklaamipettuse võimaldamisel nende petlike rakenduste levitamise ja monetiseerimise kaudu.

Lõppmõtted: pidevalt muutuv ohumaastik

Nii IconAds kui ka Kaleidoscope illustreerivad mobiilireklaamide pettuste pidevalt arenevat olemust. Need operatsioonid hägustavad piiri õiguspärase ja pahatahtliku käitumise vahel, varjates kahjulikku tegevust muidu ohutute rakenduste taha. Kuna nende ohtude taktika muutub pidevalt, on oluline, et nii rakenduste poed, arendajad kui ka kasutajad jääksid valvsaks ning et küberturvalisuse spetsialistid püsiksid sammu võrra ees üha ebakindlamatest pettusemehhanismidest.

Trendikas

Enim vaadatud

Laadimine...