Monen lisenssin alennustarjous
Uhatietokanta Mobiili haittaohjelma IconAds-mainospetokset

IconAds-mainospetokset

Vuonna Mezo vuonna Mobiili haittaohjelma, Adware
Käännä:

Kyberturvallisuustutkijat ovat paljastaneet ja purkaneet laajan mobiilimainospetosoperaation, johon liittyi satoja harhaanjohtavia Android-sovelluksia. IconAdsiksi kutsuttu kampanja on hyödyntänyt hienostuneita väistötaktiikoita, soluttautunut virallisiin sovelluskauppoihin ja hyväksikäyttänyt tietämättömiä käyttäjiä massiivisten mainosvoittojen saamiseksi.

IconAds: salakavala naamioitu mainospetosoperaatio

Tutkijat paljastivat hiljattain IconAds-nimisen Android-mainoshuijausverkoston, joka koostui 352 haitallisesta sovelluksesta. Nämä sovellukset oli suunniteltu näyttämään häiritseviä, asiayhteyteen kuulumattomia mainoksia suoraan käyttäjien näytöillä ja piilottamaan ne laitteen käynnistysohjelmalta, mikä teki niiden manuaalisesta poistamisesta lähes mahdotonta. Onneksi Google on sittemmin poistanut nämä sovellukset Play Kaupasta.

Huippuvaiheessa IconAds-toiminta vastasi jopa 1,2 miljardin mainostarjouspyynnön generoinnista päivittäin. Liikenne tuli pääasiassa Brasiliasta, Meksikosta ja Yhdysvalloista, mikä viittaa laajaan mutta alueellisesti keskittyneeseen kohdistustapaan.

IconAds ei ole täysin uusi. Sillä on yhteisiä ominaisuuksia muiden tunnettujen uhkien kanssa, joita seurataan nimillä, kuten HiddenAds ja Vapor, jotka ovat toistuvasti hiipineet Play Kaupan puolustusjärjestelmien ohi ainakin vuodesta 2019 lähtien.

Petolliset taktiikat ja jatkuva käyttäytyminen

IconAdsin ydintaktiikat perustuvat piiloväistöyn ja sinnikkyyteen. Nämä sovellukset:

  • Käytä hämärtämistä piilottaaksesi laitekohtaisia tietoja verkkoyhteyden aikana.
  • Käytä yhdenmukaisia nimeämismalleja komento- ja valvonta-alueillaan (C2).
  • Korvaa sovelluksen oletusarvoinen PÄÄ/KÄYNNISTYS-toiminto aliaksella, joka hallitsee sovelluksen ulkoasua ja toimintaa.

Asennuksen jälkeen sovellus näyttää aluksi normaalin otsikon ja kuvakkeen. Käynnistyksen jälkeen se kuitenkin aktivoi piilotetun toimintonimen, joka pysyy näkyvissä myös uudelleenkäynnistyksen jälkeen, jolloin sovellus katoaa aloitusnäytöltä. Tämä ovela temppu estää käyttäjiä löytämästä tai poistamasta sovellusta helposti.

Lopullinen tavoite? Näyttää koko näytön välimainoksia, jotka häiritsevät käyttäjää riippumatta siitä, mikä laillinen sovellus on käytössä.

Joissakin tapauksissa IconAds-muunnelmat naamioituvat Google Play Kaupaksi tai muiksi luotettaviksi Google-brändätyiksi sovelluksiksi. Nämä harhautussovellukset ohjaavat käyttäjät laillisiin sovelluksiin ja suorittavat samalla hiljaa vilpillistä toimintaa taustalla.

Väistely ja evoluutio: Liikkuva maali

IconAdsin kehittyessä uudemmat versiot sisältävät nyt lisää väistökerroksia:

  • Lisenssitarkistukset, jotka deaktivoivat haitallisen toiminnan, jos sovellus ladataan sivulle (yleinen tekniikka tietoturva-analyysin aikana).
  • Parannettu hämärtäminen, joka vaikeuttaa sekä staattista että dynaamista tarkastusta.

Näillä sovelluksilla on myös tarkoituksella lyhyt elinkaari, ja ne poistetaan usein nopeasti havaitsemisen jälkeen, vain ottaakseen ne uudelleen käyttöön muokatulla koodilla ja uusilla identiteeteillä. Tutkijat varoittavat, että IconAds-mainokset todennäköisesti sopeutuvat ja ilmestyvät uudelleen eri naamioilla.

Kaleidoskooppi: Pahan nousu -kaksoissovellukset

Asiantuntijat ovat paljastaneet Kaleidoscopen, mainoshuijausoperaation, joka käyttää tutkijoiden kutsumaa "pahan kaksosen" tekniikkaa. Tässä mallissa on mukana kaksi lähes identtistä versiota sovelluksesta:

  • Hyvänlaatuinen "houkutinkaksonen" Google Play Kaupassa.
  • Haitallinen "paha kaksonen" levisi kolmansien osapuolten sovelluskauppojen tai väärennettyjen verkkosivustojen kautta.

Pahantahtoinen vastine luo vilpillisiä mainosnäyttökertoja käyttämällä koko näytön mainoksia ilman käyttäjän toimia ja hyödyntää samaa sovellustunnusta houkutusvälineenä huijatakseen mainostajia maksamaan tekaistusta sitoutumisesta.

Kaleidoscope on Konfety-nimisen samankaltaisen järjestelmän kehitysaskel, joka alun perin käytti CaramelAds SDK:ta. Uusimmassa muodossaan viittaukset CaramelAdsiin on poistettu ja sen ydintoiminnot on integroitu uudelleen uusiksi nimettyihin SDK:ihin, kuten Leisure, Raccoon ja Adsclub, seurannan ja attribuution vaikeuttamiseksi.

Globaali ulottuvuus ja kaupalliset siteet

Joulukuun 2024 ja toukokuun 2025 välisenä aikana Kaleidoscope on vaikuttanut laajaan joukkoon Android-käyttäjiä, erityisesti Latinalaisessa Amerikassa, Turkissa, Egyptissä ja Intiassa. Nämä alueet ovat erityisen haavoittuvia kolmannen osapuolen sovelluskauppojen suuren yleisyyden vuoksi.

Kaleidoskoopin tärkeimpiä ominaisuuksia ovat:

  • Koko näytön välimainokset käynnistyvät ilman käyttäjän toimia.
  • Vilpilliset mainosten katselukerrat reititetään haitallisten sovellusversioiden kautta.
  • Laillisten sovellustunnusten käyttäytyminen mainostulojen maksimoimiseksi.

Suuri osa Kaleidoscopen ansaitsemisesta on jäljitetty portugalilaiseen Saturn Dynamic -yritykseen, joka väittää tarjoavansa laillisia mainosten ansaitsemispalveluita. Sen infrastruktuuri näyttää kuitenkin olleen keskeisessä asemassa laajamittaisen mainospetoksen mahdollistamisessa näiden harhaanjohtavien sovellusten levittämisen ja ansaitsemisen kautta.

Loppusanat: Jatkuvasti muuttuva uhkakuva

Sekä IconAds että Kaleidoscope havainnollistavat mobiilimainospetosten kehittyvää luonnetta. Nämä operaatiot hämärtävät rajaa laillisen ja haitallisen toiminnan välillä peittämällä haitallista toimintaa muuten vaarattomien sovellusten taakse. Koska näiden uhkien taktiikka muuttuu jatkuvasti, on erittäin tärkeää, että sovelluskaupat, kehittäjät ja käyttäjät pysyvät valppaina ja että kyberturvallisuusammattilaiset pysyvät askeleen edellä yhä kierteleviä petosmekanismeja.

Trendaavat

Eniten katsottu

Ladataan...