IconAds hirdetési csalás
Kiberbiztonsági kutatók lelepleztek és felszámoltak egy kiterjedt mobilhirdetési csalási műveletet, amely több száz megtévesztő Android-alkalmazást érintett. Az IconAds névre keresztelt kampány kifinomult kijátszási taktikákat alkalmazott, beszivárgott a hivatalos alkalmazásboltokba, és gyanútlan felhasználókat használt ki hatalmas reklámprofit érdekében.
Tartalomjegyzék
IconAds: Egy álruhás hirdetési csalás
A kutatók nemrégiben lelepleztek egy IconAds nevű Android hirdetési csaló hálózatot, amely 352 rosszindulatú alkalmazást foglalt magában. Ezeket az alkalmazásokat úgy tervezték, hogy tolakodó, kontextusból kiragadott hirdetéseket jelenítsenek meg közvetlenül a felhasználók képernyőjén, miközben elrejtik jelenlétüket az eszközindító elől, így a manuális eltávolítás szinte lehetetlenné vált. Szerencsére a Google azóta eltávolította ezeket az alkalmazásokat a Play Áruházból.
Csúcspontján az IconAds működése napi akár 1,2 milliárd hirdetési ajánlatkérés generálásáért volt felelős. A forgalom elsősorban Brazíliából, Mexikóból és az Egyesült Államokból származott, ami széleskörű, de regionálisan fókuszált célzási megközelítésre utal.
Az IconAds nem teljesen új. Olyan tulajdonságokat mutat, mint más ismert fenyegetések, amelyeket olyan néven követnek nyomon, mint a HiddenAds és a Vapor, és amelyek legalább 2019 óta folyamatosan átjutnak a Play Áruház védelmén.
Megtévesztő taktikák és makacs viselkedés
Az IconAds mögött álló alapvető taktikák a lopakodásra és a kitartásra épülnek. Ezek az alkalmazások:
- Használjon obfuszkációt az eszközspecifikus információk elrejtéséhez a hálózati kommunikáció során.
- Használjanak következetes elnevezési mintákat a parancsnoki és irányítási (C2) tartományaikhoz.
- Cserélje le az alkalmazás alapértelmezett FŐ/INDÍTÓ tevékenységét egy aliasra, hogy szabályozza az alkalmazás megjelenését és viselkedését.
Telepítéskor az alkalmazás kezdetben egy normál címkét és ikont jelenít meg. Az indítás után azonban aktivál egy rejtett tevékenység-álnevet, amely újraindítás után is megmarad, és az alkalmazás eltűnését okozza a kezdőképernyőről. Ez a trükk megakadályozza, hogy a felhasználók könnyen megtalálják vagy eltávolítsák az alkalmazást.
A végső cél? Teljes képernyős közbeiktatott hirdetések megjelenítése, amelyek zavarják a felhasználót, függetlenül attól, hogy melyik legitim alkalmazást használják.
Bizonyos esetekben az IconAds variánsok a Google Play Áruháznak vagy más megbízható Google márkájú alkalmazásoknak álcázzák magukat. Ezek a csalialkalmazások a felhasználókat legitim alkalmazásokhoz irányítják át, miközben csendben csalárd tevékenységet folytatnak a háttérben.
Kibúvás és evolúció: Mozgó célpont
Az IconAds fejlődésével az újabb verziók további elkerülési rétegeket is tartalmaznak:
- Licencellenőrzések, amelyek deaktiválják a rosszindulatú viselkedést, ha az alkalmazás oldalra van töltve (ez egy gyakori technika a biztonsági elemzés során).
- Fokozott ködösítés a statikus és a dinamikus ellenőrzés bonyolítása érdekében.
Ezeknek az alkalmazásoknak szándékosan rövid az élettartamuk, gyakran az észlelés után gyorsan eltávolítják őket, hogy aztán módosított kóddal és új identitással újra bevezethessék őket. A kutatók arra figyelmeztetnek, hogy az IconAds valószínűleg továbbra is alkalmazkodni fog, és különböző álruhák alatt újra megjelenik.
Kaleidoszkóp: A gonosz felemelkedése ikeralkalmazások
Egy kapcsolódó felfedezésben szakértők leleplezték a Kaleidoscope nevű hirdetési csalási műveletet, amely az úgynevezett „gonosz ikerpár” technikáját alkalmazza. Ez a modell egy alkalmazás két, közel azonos verzióját foglalja magában:
- Egy jóindulatú „csalikiker” a Google Play Áruházban.
- Egy rosszindulatú „gonosz ikertestvér” terjedt harmadik féltől származó alkalmazásboltokban és hamisított weboldalakon keresztül.
A rosszindulatú megfelelője csalárd hirdetésmegjelenítéseket generál teljes képernyős hirdetések használatával, felhasználói interakció nélkül, miközben ugyanazt az alkalmazásazonosítót használja fel a csaliként, hogy rávegye a hirdetőket, hogy fizessenek a hamis interakcióért.
A Kaleidoscope egy hasonló, Konfety néven ismert rendszer továbbfejlesztése, amely eredetileg a CaramelAds SDK-t használta. Legújabb formájában a CaramelAds-re való hivatkozásokat eltávolították, és alapvető funkcióit újra integrálták az újonnan elnevezett SDK-kba, mint például a Leisure, a Raccoon és az Adsclub, hogy nehezítsék a követést és az attribúciót.
Globális elérhetőség és kereskedelmi kapcsolatok
2024 decembere és 2025 májusa között a Kaleidoscope az Android-felhasználók széles körét érintette, különösen Latin-Amerikában, Törökországban, Egyiptomban és Indiában. Ezek a régiók különösen sebezhetőek a harmadik féltől származó alkalmazásboltok magas elterjedtsége miatt.
A Kaleidoszkóp főbb jellemzői a következők:
- Teljes képernyős közbeiktatott hirdetések, amelyek felhasználói beavatkozás nélkül jelennek meg.
- Csalárd hirdetésmegtekintések rosszindulatú alkalmazásverziókon keresztül.
- Legális alkalmazásazonosítók visszaélése a hirdetési bevételek maximalizálása érdekében.
A Kaleidoscope bevételszerzésének nagy részét egy Saturn Dynamic nevű portugál vállalathoz vezetik vissza, amely azt állítja, hogy legitim hirdetési bevételszerzési szolgáltatásokat nyújt. Úgy tűnik azonban, hogy az infrastruktúrájuk kulcsszerepet játszott a nagymértékű hirdetési csalásokban ezen megtévesztő alkalmazások terjesztése és bevételszerzése révén.
Záró gondolatok: Egy folyamatosan változó fenyegetési környezet
Az IconAds és a Kaleidoscope egyaránt jól mutatja a mobilhirdetésekkel elkövetett csalások folyamatosan változó természetét. Ezek a műveletek elmossák a határvonalat a jogos és a rosszindulatú viselkedés között azáltal, hogy a káros tevékenységeket egyébként ártalmatlan alkalmazások mögé rejtik. Ahogy ezek a fenyegetések folyamatosan változtatják taktikájukat, elengedhetetlen, hogy az alkalmazásboltok, a fejlesztők és a felhasználók egyaránt éber maradjanak, a kiberbiztonsági szakemberek pedig lépéselőnyben legyenek az egyre kitérő csalási mechanizmusokkal szemben.
