„IconAds“ reklamos sukčiavimas
Kibernetinio saugumo tyrėjai atskleidė ir išardė didelio masto mobiliųjų telefonų reklamos sukčiavimo operaciją, kurioje dalyvavo šimtai apgaulingų „Android“ programėlių. Ši kampanija, pavadinta „IconAds“, pasitelkė sudėtingą apėjimo taktiką, infiltravosi į oficialias programėlių parduotuves ir išnaudojo nieko neįtariančius vartotojus, siekdama didžiulio reklamos pelno.
Turinys
„IconAds“: slapta reklamos sukčiavimo operacija
Tyrėjai neseniai atskleidė „Android“ reklamos sukčiavimo tinklą, pavadintą „IconAds“, kurį sudaro 352 kenkėjiškos programos. Šios programos buvo sukurtos taip, kad rodytų įkyrius, iš konteksto iškritusius skelbimus tiesiai vartotojų ekranuose, slėpdamos juos nuo įrenginio paleidimo priemonės, todėl rankiniu būdu jų pašalinti beveik neįmanoma. Laimei, „Google“ vėliau pašalino šias programas iš „Play Store“.
Piko metu „IconAds“ veikla kasdien generuodavo iki 1,2 milijardo reklamos kainos pasiūlymo užklausų. Srautas daugiausia buvo gaunamas iš Brazilijos, Meksikos ir Jungtinių Amerikos Valstijų, o tai rodo platų, bet į regionus orientuotą taikymo metodą.
„IconAds“ nėra visiškai nauja. Ji turi bendrų savybių su kitomis žinomomis grėsmėmis, kurios sekamos tokiais pavadinimais kaip „HiddenAds“ ir „Vapor“, ir kurios nuolat prasiskverbia pro „Play Store“ apsaugą mažiausiai nuo 2019 m.
Apgaulinga taktika ir nuolatinis elgesys
Pagrindinė „IconAds“ taktika remiasi slaptumu ir atkaklumu. Šios programėlės:
- Naudokite maskavimą, kad paslėptumėte su įrenginiu susijusią informaciją tinklo ryšio metu.
- Naudokite nuoseklius pavadinimų modelius savo vadovavimo ir kontrolės (C2) sritims.
- Pakeiskite numatytąją programėlės PAGRINDINĘ / PALEIDIMO veiklą slapyvardžiu, kad valdytumėte programėlės išvaizdą ir veikimą.
Įdiegus programėlę, iš pradžių rodoma įprasta etiketė ir piktograma. Tačiau paleidus ją, aktyvuojamas paslėptas veiklos slapyvardis, kuris išlieka net ir po perkrovimo, todėl programėlė dingsta iš pagrindinio ekrano. Šis triukas neleidžia vartotojams lengvai rasti ar pašalinti programėlės.
Galutinis tikslas? Rodykite viso ekrano tarpinius skelbimus, kurie trikdytų vartotoją, nepriklausomai nuo to, kokia teisėta programa naudojama.
Kai kuriais atvejais „IconAds“ variantai apsimeta „Google Play“ parduotuve arba kitomis patikimomis „Google“ prekės ženklo programėlėmis. Šios masalo programėlės nukreipia vartotojus į teisėtas programas, fone tyliai vykdydamos sukčiavimo veiklą.
Išsisukimas ir evoliucija: judantis taikinys
Tobulėjant „IconAds“, naujesnėse versijose dabar yra papildomų apėjimo lygių:
- Licencijų patikrinimai, kurie deaktyvuoja kenkėjišką elgesį, jei programa įkeliama iš išorinio šaltinio (įprasta technika atliekant saugumo analizę).
- Patobulintas maskavimas, siekiant apsunkinti tiek statinę, tiek dinaminę apžiūrą.
Šios programėlės taip pat sąmoningai veikia trumpai, dažnai greitai pašalinamos po aptikimo, o vėliau vėl įdiegiamos su modifikuotu kodu ir naujomis tapatybėmis. Tyrėjai perspėja, kad „IconAds“ greičiausiai ir toliau prisitaikys ir vėl pasirodys skirtingais pavidalais.
Kaleidoskopas: blogio iškilimas – dvynių programėlės
Susijusiame atradime ekspertai atskleidė „Kaleidoscope“ – reklamos sukčiavimo operaciją, kurioje naudojama tai, ką tyrėjai vadina „blogojo dvynio“ technika. Šis modelis apima dvi beveik identiškas programėlės versijas:
- Gerybinis „masalo dvynys“, talpinamas „Google Play“ parduotuvėje.
- Kenkėjiškas „blogasis dvynys“ platinamas trečiųjų šalių programėlių parduotuvėse arba padirbtų svetainių svetainėse.
Piktavališkas atitikmuo generuoja apgaulingus skelbimų parodymus naudodamas viso ekrano skelbimus be jokios naudotojo sąveikos, naudodamas tą patį programos ID kaip masalas, kad apgautų reklamuotojus, priversdamas juos mokėti už netikrą sąveiką.
„Kaleidoscope“ yra panašios schemos, žinomos kaip „Konfety“, kuri iš pradžių naudojo „CaramelAds SDK“, evoliucija. Naujausioje versijoje nuorodos į „CaramelAds“ buvo pašalintos, o pagrindinės funkcijos vėl integruotos į naujai pavadintus SDK, tokius kaip „Leisure“, „Raccoon“ ir „Adsclub“, siekiant apsunkinti stebėjimą ir priskyrimą.
Pasaulinis pasiekiamumas ir komerciniai ryšiai
Nuo 2024 m. gruodžio iki 2025 m. gegužės mėn. „Kaleidoscope“ paveikė daugybę „Android“ naudotojų, ypač Lotynų Amerikoje, Turkijoje, Egipte ir Indijoje. Šie regionai yra ypač pažeidžiami dėl didelio trečiųjų šalių programėlių parduotuvių paplitimo.
Pagrindinės Kaleidoskopo savybės:
- Viso ekrano tarpiniai skelbimai suaktyvinami be naudotojo įvesties.
- Apgaulingų skelbimų peržiūros nukreipiamos per kenkėjiškas programėlių versijas.
- Apsimetimas teisėtais programų ID, siekiant padidinti pajamas iš reklamos.
Didžioji dalis „Kaleidoscope“ pajamų gavimo siejama su Portugalijos bendrove „Saturn Dynamic“, kuri teigia teikianti teisėtas reklamos pajamų gavimo paslaugas. Tačiau jos infrastruktūra, atrodo, buvo labai svarbi siekiant didelio masto reklamos sukčiavimo platinant ir gaunant iš jų pajamų.
Baigiamosios mintys: nuolat kintantis grėsmių kraštovaizdis
Ir „IconAds“, ir „Kaleidoscope“ iliustruoja besikeičiantį mobiliųjų įrenginių reklamos sukčiavimo pobūdį. Šios operacijos ištrina ribą tarp teisėto ir kenkėjiško elgesio, pridengdamos kenksmingą veiklą po kitaip nekenksmingomis programėlėmis. Kadangi šių grėsmių taktika nuolat keičiasi, programėlių parduotuvėms, kūrėjams ir vartotojams labai svarbu išlikti budriems, o kibernetinio saugumo specialistams – būti žingsniu priekyje vis labiau vengiančių sukčiavimo mechanizmų.
