Frode pubblicitaria di IconAds

I ricercatori di sicurezza informatica hanno scoperto e smantellato una vasta operazione di frode pubblicitaria su dispositivi mobili che coinvolgeva centinaia di applicazioni Android ingannevoli. Denominata IconAds, questa campagna ha sfruttato sofisticate tattiche di elusione, si è infiltrata negli app store ufficiali e ha sfruttato utenti ignari per ottenere enormi profitti pubblicitari.

IconAds: un’operazione di frode pubblicitaria subdola e mascherata

I ricercatori hanno recentemente scoperto una rete di frodi pubblicitarie su Android denominata IconAds, composta da 352 applicazioni dannose. Queste app erano progettate per visualizzare annunci pubblicitari intrusivi e fuori contesto direttamente sugli schermi degli utenti, nascondendone la presenza nel launcher del dispositivo, rendendone quasi impossibile la rimozione manuale. Fortunatamente, Google ha successivamente rimosso queste app dal Play Store.

Al suo apice, IconAds generava fino a 1,2 miliardi di richieste di offerta pubblicitarie al giorno. Il traffico proveniva principalmente da Brasile, Messico e Stati Uniti, a dimostrazione di un approccio di targeting ampio ma focalizzato a livello regionale.

IconAds non è del tutto nuovo. Condivide alcune caratteristiche con altre minacce note, monitorate con nomi come HiddenAds e Vapor, che hanno ripetutamente aggirato le difese del Play Store almeno dal 2019.

Tattiche ingannevoli e comportamento persistente

Le tattiche principali di IconAds si basano su furtività e persistenza. Queste app:

• Utilizzare l'offuscamento per nascondere informazioni specifiche del dispositivo durante le comunicazioni di rete.
• Utilizzare modelli di denominazione coerenti per i domini di comando e controllo (C2).
• Sostituisci l'attività MAIN/LAUNCHER predefinita dell'app con un alias per controllare l'aspetto e il comportamento dell'app.

All'installazione, l'app inizialmente mostra un'etichetta e un'icona normali. Tuttavia, una volta avviata, attiva un alias nascosto che rimane persistente anche dopo il riavvio, facendo scomparire l'app dalla schermata iniziale. Questo espediente impedisce agli utenti di individuare o disinstallare facilmente l'applicazione.

L'obiettivo finale? Offrire annunci interstiziali a schermo intero che interferiscano con l'esperienza dell'utente, indipendentemente dall'app legittima in uso.

In alcuni casi, le varianti di IconAds si mascherano da app del Google Play Store o da altre app affidabili a marchio Google. Queste app esca reindirizzano gli utenti ad app legittime, mentre eseguono silenziosamente attività fraudolente in background.

Evasione ed evoluzione: un bersaglio mobile

Con l'evoluzione di IconAds, le nuove iterazioni ora incorporano ulteriori livelli di elusione:

• Controlli della licenza che disattivano comportamenti dannosi in caso di sideload dell'app (una tecnica comune durante l'analisi della sicurezza).
• Offuscamento migliorato per complicare sia l'ispezione statica che quella dinamica.

Queste app hanno anche una durata di vita volutamente breve, spesso vengono rimosse rapidamente dopo il rilevamento, solo per essere reintrodotte con codice modificato e nuove identità. I ricercatori avvertono che IconAds probabilmente continuerà ad adattarsi e riemergere sotto diverse forme.

Kaleidoscope: L’ascesa delle app Evil Twin

In una scoperta correlata, gli esperti hanno smascherato Kaleidoscope, un'operazione di frode pubblicitaria che impiega quella che i ricercatori chiamano la tecnica del "gemello malvagio". Questo modello prevede due versioni quasi identiche di un'app:

• Un 'gemello esca' benigno ospitato sul Google Play Store.
• Un "gemello malvagio" maligno circolava tramite app store di terze parti o siti web contraffatti.

La controparte malevola genera visualizzazioni pubblicitarie fraudolente utilizzando annunci a schermo intero, senza alcuna interazione da parte dell'utente, sfruttando lo stesso ID app dell'esca per indurre gli inserzionisti a pagare per un falso coinvolgimento.

Kaleidoscope è un'evoluzione di uno schema simile noto come Konfety, che originariamente utilizzava l'SDK CaramelAds. Nella sua versione più recente, i riferimenti a CaramelAds sono stati eliminati e le sue funzioni principali sono state reintegrate in SDK con nomi nuovi come Leisure, Raccoon e Adsclub per ostacolare il tracciamento e l'attribuzione.

Portata globale e legami commerciali

Tra dicembre 2024 e maggio 2025, Kaleidoscope ha avuto un impatto su un'ampia fascia di utenti Android, in particolare in America Latina, Turchia, Egitto e India. Queste regioni sono particolarmente vulnerabili a causa dell'elevata diffusione di app store di terze parti.

Le caratteristiche principali del caleidoscopio includono:

• Annunci interstiziali a schermo intero attivati senza l'intervento dell'utente.
• Visualizzazioni di annunci fraudolenti instradati tramite versioni di app dannose.
• Furto d'identità di app legittime per massimizzare i ricavi pubblicitari.

Gran parte della monetizzazione di Kaleidoscope è stata ricondotta a un'azienda portoghese chiamata Saturn Dynamic, che afferma di fornire servizi legittimi di monetizzazione pubblicitaria. Tuttavia, la sua infrastruttura sembra essere stata determinante nel consentire frodi pubblicitarie su larga scala attraverso la distribuzione e la monetizzazione di queste app ingannevoli.

Considerazioni finali: un panorama delle minacce in continua evoluzione

Sia IconAds che Kaleidoscope illustrano la natura in continua evoluzione delle frodi pubblicitarie sui dispositivi mobili. Queste operazioni confondono il confine tra comportamenti legittimi e dannosi, mascherando attività dannose dietro app altrimenti innocue. Poiché queste minacce continuano a cambiare tattica, è fondamentale che gli app store, gli sviluppatori e gli utenti rimangano vigili e che i professionisti della sicurezza informatica siano sempre un passo avanti rispetto a meccanismi di frode sempre più elusivi.