Ponuda s popustom na više licenci
Baza prijetnji Mobilni malware Prijevara s oglasima IconAds

Prijevara s oglasima IconAds

Do Mezo. Mobilni malware, Adware. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su i razbili opsežnu operaciju prijevare s mobilnim oglasima koja uključuje stotine obmanjujućih Android aplikacija. Nazvana IconAds, ova kampanja iskoristila je sofisticirane taktike izbjegavanja, infiltrirala se u službene trgovine aplikacija i iskorištavala nesuđene korisnike za ogromnu zaradu od oglašavanja.

IconAds: Prikrivena operacija prijevare s oglasima u maski

Istraživači su nedavno otkrili mrežu za prijevare s oglasima za Android pod nazivom IconAds, koja se sastoji od 352 zlonamjerne aplikacije. Ove su aplikacije dizajnirane za prikazivanje nametljivih oglasa izvan konteksta izravno na zaslonima korisnika, a istovremeno skrivaju svoju prisutnost od pokretača uređaja, što je ručno uklanjanje učinilo gotovo nemogućim. Srećom, Google je od tada uklonio te aplikacije iz Trgovine Play.

U svom vrhuncu, IconAds je generirao do 1,2 milijarde zahtjeva za oglasne ponude dnevno. Promet je prvenstveno dolazio iz Brazila, Meksika i Sjedinjenih Država, što ukazuje na širok, ali regionalno usmjeren pristup ciljanju.

IconAds nije posve nov. Dijeli karakteristike s drugim poznatim prijetnjama koje se prate pod imenima poput HiddenAds i Vapor, a koje se više puta provlače kroz obranu Trgovine Play barem od 2019. godine.

Obmanjujuće taktike i uporno ponašanje

Osnovne taktike iza IconAdsa oslanjaju se na prikrivenost i upornost. Ove aplikacije:

  • Koristite maskiranje kako biste sakrili informacije specifične za uređaj tijekom mrežne komunikacije.
  • Koristiti dosljedne obrasce imenovanja za svoje domene zapovijedanja i upravljanja (C2).
  • Zamijenite zadanu aktivnost GLAVNI/POKRETNIČAR aplikacije pseudonimom kako biste kontrolirali kako se aplikacija pojavljuje i ponaša.

Nakon instalacije, aplikacija isprva prikazuje normalnu oznaku i ikonu. Međutim, nakon pokretanja aktivira skriveni alias aktivnosti koji ostaje postojan, čak i nakon ponovnog pokretanja, uzrokujući nestanak aplikacije s početnog zaslona. Ova trik sprječava korisnike da lako pronađu ili deinstaliraju aplikaciju.

Krajnji cilj? Prikazivanje međuprostornih oglasa preko cijelog zaslona koji ometaju korisnika bez obzira na to koja se legitimna aplikacija koristi.

U nekim slučajevima, varijante IconAdsa maskiraju se kao Trgovina Google Play ili druge pouzdane aplikacije robne marke Google. Ove lažne aplikacije preusmjeravaju korisnike na legitimne aplikacije dok tiho izvršavaju lažne aktivnosti u pozadini.

Izbjegavanje i evolucija: Pokretna meta

Kako se IconAds razvijao, novije verzije sada uključuju dodatne slojeve izbjegavanja:

  • Provjere licenci koje deaktiviraju zlonamjerno ponašanje ako se aplikacija učita s druge strane (uobičajena tehnika tijekom sigurnosne analize).
  • Poboljšano zamagljivanje kako bi se otežala i statička i dinamička inspekcija.

Ove aplikacije također imaju namjerno kratak životni vijek, često se brzo uklanjaju nakon otkrivanja, samo da bi se ponovno uvele s modificiranim kodom i novim identitetima. Istraživači upozoravaju da će se IconAds vjerojatno nastaviti prilagođavati i ponovno pojavljivati pod različitim krinkama.

Kaleidoskop: Uspon zlih aplikacija blizanaca

U povezanom otkriću, stručnjaci su razotkrili Kaleidoscope, operaciju prijevare s oglasima koja koristi ono što istraživači nazivaju tehnikom "zlog blizanca". Ovaj model uključuje dvije gotovo identične verzije aplikacije:

  • Dobroćudni 'mamac blizanac' smješten na Google Play trgovini.
  • Zlonamjerni 'zli blizanac' kružio je putem trgovina aplikacija trećih strana ili krivotvorenih web stranica.

Zlonamjerni pandan generira lažne prikaze oglasa koristeći oglase preko cijelog zaslona, bez ikakve interakcije s korisnikom, koristeći isti ID aplikacije kao mamac kako bi prevario oglašivače da plate za lažni angažman.

Kaleidoscope je evolucija slične sheme poznate kao Konfety, koja je izvorno koristila CaramelAds SDK. U svom najnovijem obliku, reference na CaramelAds su uklonjene, a njegove ključne funkcije ponovno su integrirane u novoimenovane SDK-ove poput Leisure, Raccoon i Adsclub kako bi se otežalo praćenje i atribucija.

Globalni doseg i komercijalne veze

Između prosinca 2024. i svibnja 2025., Kaleidoscope je utjecao na širok raspon korisnika Androida, posebno u Latinskoj Americi, Turskoj, Egiptu i Indiji. Te su regije posebno ranjive zbog velike rasprostranjenosti trgovina aplikacija trećih strana.

Glavne karakteristike Kaleidoskopa uključuju:

  • Međuprostorni oglasi preko cijelog zaslona aktiviraju se bez korisničkog unosa.
  • Lažni prikazi oglasa usmjereni putem zlonamjernih verzija aplikacija.
  • Lažno predstavljanje legitimnih ID-ova aplikacija radi maksimiziranja prihoda od oglasa.

Velik dio monetizacije Kaleidoscopea povezan je s portugalskom tvrtkom Saturn Dynamic, koja tvrdi da pruža legitimne usluge monetizacije oglasa. Međutim, čini se da je njezina infrastruktura bila ključna u omogućavanju velikih prijevara s oglasima putem distribucije i monetizacije tih obmanjujućih aplikacija.

Završne misli: Stalno promjenjiv krajolik prijetnji

I IconAds i Kaleidoscope ilustriraju evoluirajuću prirodu prijevara s mobilnim oglasima. Ove operacije brišu granicu između legitimnog i zlonamjernog ponašanja prikrivanjem štetnih aktivnosti iza inače benignih aplikacija. Kako ove prijetnje nastavljaju mijenjati taktike, ključno je da trgovine aplikacija, programeri i korisnici ostanu oprezni, a stručnjaci za kibernetičku sigurnost da budu korak ispred sve izbjegavajućih mehanizama prijevare.

U trendu

Nagledanije

Učitavam...