הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית לנייד הונאת מודעות IconAds

הונאת מודעות IconAds

עד Mezo ב-תוכנה זדונית לנייד, תוכנות פרסום
לתרגם ל:

חוקרי אבטחת סייבר חשפו ופירוק מבצע הונאה נרחב של פרסום במובייל, הכולל מאות אפליקציות אנדרואיד מטעות. קמפיין זה, המכונה IconAds, ניצל טקטיקות התחמקות מתוחכמות, חדר לחנויות אפליקציות רשמיות וניצל משתמשים תמימים לרווחי פרסום עצומים.

IconAds: מבצע חשאי של הונאת פרסום במסווה

חוקרים חשפו לאחרונה רשת הונאת פרסום באנדרואיד בשם IconAds, הכוללת 352 אפליקציות זדוניות. אפליקציות אלו נועדו להציג מודעות פולשניות, שאינן קשורות להקשר, ישירות על מסכי המשתמשים, תוך הסתרת נוכחותן ממפעיל המכשיר, מה שהופך את ההסרה הידנית לכמעט בלתי אפשרית. למרבה המזל, גוגל הסירה מאז את האפליקציות הללו מחנות Play.

בשיאה, פעילות IconAds הייתה אחראית על יצירת עד 1.2 מיליארד בקשות להצעות מחיר לפרסום מדי יום. התנועה הגיעה בעיקר מברזיל, מקסיקו וארצות הברית, דבר המצביע על גישת פילוח רחבה אך ממוקדת אזורית.

IconAds אינו חדש לחלוטין. הוא חולק מאפיינים עם איומים ידועים אחרים תחת שמות כמו HiddenAds ו-Vapor, אשר חומקים שוב ושוב דרך הגנות חנות Play מאז 2019 לפחות.

טקטיקות מטעות והתנהגות מתמשכת

הטקטיקות המרכזיות מאחורי IconAds מסתמכות על חמקנות והתמדה. האפליקציות הבאות:

  • השתמש בטשטוש כדי להסתיר מידע ספציפי למכשיר במהלך תקשורת רשת.
  • להשתמש בדפוסי שמות עקביים עבור תחומי הפיקוד והבקרה (C2) שלהם.
  • החלף את פעילות ברירת המחדל של MAIN/LAUNCHER של האפליקציה בכינוי כדי לשלוט באופן שבו האפליקציה נראית ומתנהגת.

לאחר ההתקנה, האפליקציה מציגה בתחילה תווית וסמל רגילים. עם זאת, לאחר ההפעלה, היא מפעילה כינוי פעילות מוסתר שנשאר קבוע, גם לאחר אתחול מחדש, וגורם לאפליקציה להיעלם ממסך הבית. תכסיס זה מונע ממשתמשים לאתר או להסיר את ההתקנה של האפליקציה בקלות.

המטרה הסופית? להציג מודעות ביניים במסך מלא שמפריעות למשתמש ללא קשר לאפליקציה לגיטימית שנמצאת בשימוש.

במקרים מסוימים, גרסאות של IconAds מתחזות לחנות Google Play או לאפליקציות מהימנות אחרות של גוגל. אפליקציות מטעה אלו מפנים משתמשים לאפליקציות לגיטימיות תוך ביצוע פעילות הונאה שקטה ברקע.

התחמקות ואבולוציה: מטרה נעה

ככל ש-IconAds התפתחה, גרסאות חדשות יותר משלבות שכבות נוספות של התחמקות:

  • בדיקות רישיון שמנטרלות התנהגות זדונית אם האפליקציה נטענת בצד (טכניקה נפוצה במהלך ניתוח אבטחה).
  • ערפול משופר כדי לסבך בדיקה סטטית ודינמית כאחד.

לאפליקציות אלו יש גם תוחלת חיים קצרה במכוון, שלעתים קרובות מוסרות במהירות לאחר גילוי, רק כדי להיות מוצגות מחדש עם קוד שונה וזהויות חדשות. חוקרים מזהירים כי IconAds כנראה ימשיכו להסתגל ולהופיע מחדש תחת מסווה שונה.

קליידוסקופ: עלייתם של אפליקציות התאומים הרעים

בתגלית קשורה, מומחים חשפו את קליידוסקופ, מבצע הונאת פרסום המשתמש במה שחוקרים מכנים טכניקת "התאום הרע". מודל זה כולל שתי גרסאות כמעט זהות של אפליקציה:

  • "תאום פיתיון" שפיר שמתארח בחנות גוגל פליי.
  • "תאום מרושע" זדוני הופץ דרך חנויות אפליקציות של צד שלישי או אתרים מזויפים.

המקבילה הזדונית מייצרת חשיפות מודעות הונאה באמצעות מודעות במסך מלא, ללא כל אינטראקציה של המשתמש, תוך ניצול אותו מזהה אפליקציה כמו הפיתיון כדי להערים על מפרסמים ולגרום להם לשלם עבור מעורבות מזויפת.

קליידוסקופ היא אבולוציה של תוכנית דומה המכונה Konfety, אשר השתמשה במקור ב-CaramelAds SDK. בצורתה האחרונה, ההתייחסויות ל-CaramelAds הוסרו, ופונקציות הליבה שלה שולבו מחדש בערכות SDK חדשות כמו Leisure, Raccoon ו-Adsclub כדי להפריע למעקב וייחוס.

טווח הגעה גלובלי וקשרים מסחריים

בין דצמבר 2024 למאי 2025, קליידוסקופ השפיע על קהל רחב של משתמשי אנדרואיד, במיוחד באמריקה הלטינית, טורקיה, מצרים והודו. אזורים אלה פגיעים במיוחד בשל השכיחות הגבוהה של חנויות אפליקציות של צד שלישי.

המאפיינים העיקריים של קליידוסקופ כוללים:

  • מודעות ביניים במסך מלא מופעלות ללא קלט מהמשתמש.
  • צפיות במודעות הונאה מנותבות דרך גרסאות זדוניות של אפליקציות.
  • התחזות של מזהי אפליקציה לגיטימיים כדי למקסם את הכנסות הפרסום.

חלק ניכר מהמוניטיזציה של קליידוסקופ מיוחס לחברה פורטוגזית בשם Saturn Dynamic, הטוענת לספק שירותי מונטיזציה לגיטימיים מפרסומות. עם זאת, נראה כי התשתית שלה סייעה בהונאת פרסומות בקנה מידה גדול באמצעות הפצה ומונטיזציה של אפליקציות מטעות אלו.

מחשבות אחרונות: נוף איומים משתנה ללא הרף

גם IconAds וגם Kaleidoscope ממחישים את האופי המתפתח של הונאות פרסום במובייל. פעולות אלו מטשטשות את הגבול בין התנהגות לגיטימית להתנהגות זדונית על ידי הסוואת פעילות מזיקה מאחורי אפליקציות שבדרך כלל לא שפירות. ככל שאיומים אלו ממשיכים לשנות טקטיקות, חיוני שחנויות אפליקציות, מפתחים ומשתמשים כאחד יישארו ערניים ושמומחי אבטחת סייבר יישארו צעד אחד קדימה מול מנגנוני הונאה חמקמקים יותר ויותר.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,519
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...