قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل کلاهبرداری تبلیغاتی IconAds

کلاهبرداری تبلیغاتی IconAds

تا Mezo در بدافزار موبایل, ابزارهای تبلیغاتی مزاحم
ترجمه به:

محققان امنیت سایبری یک عملیات گسترده کلاهبرداری تبلیغاتی موبایل را که شامل صدها برنامه فریبنده اندرویدی بود، کشف و خنثی کردند. این کمپین که IconAds نام دارد، از تاکتیک‌های پیچیده فرار استفاده کرده، به فروشگاه‌های رسمی برنامه‌ها نفوذ کرده و از کاربران ناآگاه برای سودهای کلان تبلیغاتی سوءاستفاده کرده است.

IconAds: یک عملیات کلاهبرداری تبلیغاتی مخفیانه در لباس مبدل

محققان اخیراً یک شبکه کلاهبرداری تبلیغاتی اندروید با نام IconAds را کشف کردند که شامل ۳۵۲ برنامه مخرب بود. این برنامه‌ها طوری طراحی شده بودند که تبلیغات مزاحم و خارج از متن را مستقیماً روی صفحه نمایش کاربران نمایش دهند و در عین حال حضور خود را از لانچر دستگاه پنهان کنند و حذف دستی آنها را تقریباً غیرممکن سازند. خوشبختانه، گوگل از آن زمان این برنامه‌ها را از فروشگاه Play حذف کرده است.

در اوج خود، عملیات IconAds مسئول ایجاد روزانه ۱.۲ میلیارد درخواست پیشنهاد تبلیغات بود. این ترافیک عمدتاً از برزیل، مکزیک و ایالات متحده سرچشمه می‌گرفت، که به یک رویکرد هدف‌گیری گسترده اما متمرکز بر منطقه اشاره دارد.

IconAds کاملاً جدید نیست. این بدافزار ویژگی‌هایی مشابه با سایر تهدیدهای شناخته‌شده‌ای دارد که با نام‌هایی مانند HiddenAds و Vapor ردیابی می‌شوند و حداقل از سال ۲۰۱۹ بارها و بارها از سد دفاعی فروشگاه گوگل پلی عبور کرده‌اند.

تاکتیک‌های فریبنده و رفتار مداوم

تاکتیک‌های اصلی پشت IconAds بر پنهان‌کاری و پایداری متکی است. این برنامه‌ها:

  • از مبهم‌سازی برای پنهان کردن اطلاعات خاص دستگاه در طول ارتباطات شبکه استفاده کنید.
  • از الگوهای نامگذاری ثابتی برای حوزه‌های فرماندهی و کنترل (C2) خود استفاده کنند.
  • فعالیت پیش‌فرض MAIN/LAUNCHER برنامه را با یک نام مستعار جایگزین کنید تا نحوه نمایش و رفتار برنامه را کنترل کنید.

پس از نصب، برنامه در ابتدا یک برچسب و آیکون معمولی را نمایش می‌دهد. با این حال، پس از اجرا، یک نام مستعار فعالیت پنهان را فعال می‌کند که حتی پس از راه‌اندازی مجدد نیز پایدار می‌ماند و باعث می‌شود برنامه از صفحه اصلی ناپدید شود. این ترفند مانع از آن می‌شود که کاربران به راحتی برنامه را پیدا یا حذف کنند.

هدف نهایی؟ نمایش تبلیغات بینابینی تمام صفحه که صرف نظر از اینکه از کدام برنامه قانونی استفاده می‌شود، کاربر را مختل می‌کند.

در برخی موارد، انواع IconAds خود را به عنوان فروشگاه Google Play یا سایر برنامه‌های معتبر برند Google جا می‌زنند. این برنامه‌های فریبنده، کاربران را به برنامه‌های قانونی هدایت می‌کنند و در عین حال، فعالیت‌های کلاهبرداری را در پس‌زمینه و به صورت مخفیانه انجام می‌دهند.

فرار و تکامل: یک هدف متحرک

با تکامل IconAds، نسخه‌های جدیدتر آن اکنون لایه‌های بیشتری از گریز را در خود جای داده‌اند:

  • بررسی‌های مجوز که در صورت بارگذاری جانبی برنامه (یک تکنیک رایج در طول تجزیه و تحلیل امنیتی) رفتار مخرب را غیرفعال می‌کنند.
  • مبهم‌سازی پیشرفته برای پیچیده‌تر کردن بازرسی استاتیک و دینامیک.

این برنامه‌ها همچنین عمداً طول عمر کوتاهی دارند و اغلب پس از شناسایی به سرعت حذف می‌شوند و با کد اصلاح‌شده و هویت‌های جدید دوباره معرفی می‌شوند. محققان هشدار می‌دهند که IconAds احتمالاً به سازگاری خود ادامه داده و تحت پوشش‌های مختلف دوباره ظاهر خواهد شد.

کالیدوسکوپ: ظهور شیطان

در یک کشف مرتبط، کارشناسان Kaleidoscope را افشا کرده‌اند، یک عملیات کلاهبرداری تبلیغاتی که از تکنیکی استفاده می‌کند که محققان آن را «دوقلوی شیطانی» می‌نامند. این مدل شامل دو نسخه تقریباً یکسان از یک برنامه است:

  • یک «دوقلوی فریبکار» خوش‌خیم که در فروشگاه گوگل پلی میزبانی می‌شود.
  • یک «دوقلوی شیطانی» مخرب از طریق فروشگاه‌های اپلیکیشن شخص ثالث یا وب‌سایت‌های جعلی منتشر شد.

همتای بدخواه، با استفاده از تبلیغات تمام صفحه و بدون هیچ گونه تعامل با کاربر، نمایش‌های تبلیغاتی جعلی ایجاد می‌کند، در حالی که از همان شناسه برنامه به عنوان طعمه استفاده می‌کند تا تبلیغ‌کنندگان را برای پرداخت هزینه برای تعامل جعلی فریب دهد.

Kaleidoscope تکامل‌یافته‌ی طرح مشابهی به نام Konfety است که در ابتدا از SDK مربوط به CaramelAds استفاده می‌کرد. در جدیدترین شکل خود، ارجاعات به CaramelAds حذف شده و عملکردهای اصلی آن دوباره در SDKهای جدیدی مانند Leisure، Raccoon و Adsclub ادغام شده‌اند تا مانع از ردیابی و انتساب شوند.

دسترسی جهانی و روابط تجاری

بین دسامبر ۲۰۲۴ و مه ۲۰۲۵، Kaleidoscope طیف وسیعی از کاربران اندروید، به ویژه در آمریکای لاتین، ترکیه، مصر و هند را تحت تأثیر قرار داده است. این مناطق به دلیل شیوع بالای فروشگاه‌های اپلیکیشن شخص ثالث، به ویژه آسیب‌پذیر هستند.

ویژگی‌های کلیدی کالیدوسکوپ عبارتند از:

  • تبلیغات بینابینی تمام صفحه که بدون دخالت کاربر نمایش داده می‌شوند.
  • بازدیدهای تبلیغاتی جعلی از طریق نسخه‌های مخرب برنامه‌ها هدایت می‌شوند.
  • جعل هویت شناسه‌های برنامه‌های قانونی برای به حداکثر رساندن درآمد حاصل از تبلیغات.

بخش عمده‌ای از درآمدزایی Kaleidoscope به یک شرکت پرتغالی به نام Saturn Dynamic مربوط می‌شود که ادعا می‌کند خدمات قانونی کسب درآمد از تبلیغات را ارائه می‌دهد. با این حال، به نظر می‌رسد زیرساخت‌های آن در ایجاد کلاهبرداری تبلیغاتی در مقیاس بزرگ از طریق توزیع و کسب درآمد از این برنامه‌های فریبنده نقش مهمی داشته است.

سخن آخر: چشم‌انداز تهدیدها دائماً در حال تغییر است

هم IconAds و هم Kaleidoscope ماهیت در حال تکامل کلاهبرداری در تبلیغات موبایل را نشان می‌دهند. این عملیات با پنهان کردن فعالیت‌های مضر در پشت برنامه‌های بی‌خطر، مرز بین رفتار مشروع و مخرب را محو می‌کنند. از آنجایی که این تهدیدها همچنان تاکتیک‌های خود را تغییر می‌دهند، بسیار مهم است که فروشگاه‌های اپلیکیشن، توسعه‌دهندگان و کاربران هوشیار باشند و متخصصان امنیت سایبری نیز یک قدم جلوتر از مکانیسم‌های کلاهبرداری فزاینده و گریزان باشند.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,519
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...