Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra mobilajām ierīcēm IconAds reklāmu krāpšana

IconAds reklāmu krāpšana

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm, Adware. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši un likvidējuši plašu mobilo reklāmu krāpniecības operāciju, kurā iesaistītas simtiem maldinošu Android lietotņu. Šī kampaņa, kas nodēvēta par IconAds, ir izmantojusi sarežģītas krāpšanas taktikas, iefiltrējusies oficiālajos lietotņu veikalos un izmantojusi neko nenojaušošus lietotājus, lai gūtu milzīgu peļņu no reklāmas.

IconAds: slepena reklāmu krāpšanas operācija maskētā veidā

Pētnieki nesen atklāja Android reklāmu krāpniecības tīklu ar nosaukumu IconAds, kas sastāv no 352 ļaunprātīgām lietotnēm. Šīs lietotnes bija izstrādātas, lai lietotāju ekrānos rādītu uzmācīgas, kontekstam neatbilstošas reklāmas, vienlaikus slēpjot to klātbūtni no ierīces palaišanas programmas, padarot manuālu noņemšanu gandrīz neiespējamu. Par laimi, Google kopš tā laika ir noņēmis šīs lietotnes no Play veikala.

Savā kulminācijas brīdī IconAds darbība bija atbildīga par līdz pat 1,2 miljardu reklāmas piedāvājumu pieprasījumu ģenerēšanu dienā. Datplūsma galvenokārt nāca no Brazīlijas, Meksikas un Amerikas Savienotajām Valstīm, kas norāda uz plašu, bet reģionāli fokusētu mērķauditorijas atlases pieeju.

IconAds nav pilnīgi jauns. Tam ir kopīgas iezīmes ar citiem zināmiem draudiem, kas tiek izsekoti ar tādiem nosaukumiem kā HiddenAds un Vapor, un kas vismaz kopš 2019. gada atkārtoti ir slepus apgājuši Play veikala aizsardzību.

Maldinoša taktika un pastāvīga uzvedība

IconAds galvenā taktika balstās uz slepenību un neatlaidību. Šīs lietotnes:

  • Izmantojiet obfuskāciju, lai tīkla saziņas laikā paslēptu ierīcei raksturīgu informāciju.
  • Izmantojiet konsekventus nosaukumu piešķiršanas modeļus savām komandvadības un kontroles (C2) jomām.
  • Aizstājiet lietotnes noklusējuma GALVENĀ/PALAIDES darbību ar aizstājvārdu, lai kontrolētu lietotnes izskatu un darbību.

Pēc instalēšanas lietotne sākotnēji parāda parastu nosaukumu un ikonu. Tomēr, tiklīdz tā tiek palaista, tā aktivizē slēptu darbību — aizstājvārdu, kas paliek nemainīgs pat pēc atkārtotas palaišanas, kā rezultātā lietotne pazūd no sākuma ekrāna. Šis triks neļauj lietotājiem viegli atrast vai atinstalēt lietotni.

Galvenais mērķis? Rādīt pilnekrāna iespiestās reklāmas, kas traucē lietotājam neatkarīgi no tā, kura likumīgā lietotne tiek izmantota.

Dažos gadījumos IconAds varianti maskējas par Google Play veikalu vai citām uzticamām Google zīmola lietotnēm. Šīs mānlietotnes novirza lietotājus uz likumīgām lietotnēm, vienlaikus fonā klusībā veicot krāpnieciskas darbības.

Izvairīšanās un evolūcija: kustīgs mērķis

IconAds attīstībai ejot, jaunākās versijas tagad ietver papildu apiešanas slāņus:

  • Licences pārbaudes, kas deaktivizē ļaunprātīgu darbību, ja lietotne tiek sānielādēta (izplatīta metode drošības analīzes laikā).
  • Uzlabota obfuskācija, lai sarežģītu gan statisko, gan dinamisko pārbaudi.

Šīm lietotnēm ir arī apzināti īss darbības laiks, tās bieži vien ātri tiek noņemtas pēc atklāšanas, lai pēc tam atkārtoti ieviestu ar modificētu kodu un jaunām identitātēm. Pētnieki brīdina, ka IconAds, visticamāk, turpinās pielāgoties un atkal parādīsies dažādos veidos.

Kaleidoskops: Ļaunuma uzplaukums Dvīņu lietotnes

Saistītā atklājumā eksperti ir atmaskojuši Kaleidoscope — reklāmas krāpšanas operāciju, kurā tiek izmantota tā sauktā “ļaunā dvīņa” tehnika. Šajā modelī ir iesaistītas divas gandrīz identiskas lietotnes versijas:

  • Labdabīgs “mānekļa dvīnis”, kas tiek mitināts Google Play veikalā.
  • Ļaunprātīgs “ļaunais dvīnis” izplatījās trešo pušu lietotņu veikalos vai viltotās tīmekļa vietnēs.

Ļaunprātīgais partneris ģenerē krāpnieciskus reklāmu seansus, izmantojot pilnekrāna reklāmas bez jebkādas lietotāja mijiedarbības, vienlaikus izmantojot to pašu lietotnes ID kā māneklī, lai maldinātu reklāmdevējus, liekot viņiem maksāt par viltus mijiedarbību.

Kaleidoscope ir līdzīgas shēmas Konfety evolūcija, kas sākotnēji izmantoja CaramelAds SDK. Jaunākajā versijā atsauces uz CaramelAds ir izņemtas, un tās pamatfunkcijas ir integrētas jaunajos SDK, piemēram, Leisure, Raccoon un Adsclub, lai sarežģītu izsekošanu un attiecināšanu.

Globālā tvēruma un komerciālās saites

Laikā no 2024. gada decembra līdz 2025. gada maijam Kaleidoscope ir ietekmējis plašu Android lietotāju loku, jo īpaši Latīņamerikā, Turkijā, Ēģiptē un Indijā. Šie reģioni ir īpaši neaizsargāti trešo pušu lietotņu veikalu augstās izplatības dēļ.

Kaleidoskopa galvenās iezīmes ir šādas:

  • Pilnekrāna iespiestās reklāmas tiek aktivizētas bez lietotāja ievades.
  • Krāpniecisku reklāmu skatījumi, kas novirzīti, izmantojot ļaunprātīgas lietotņu versijas.
  • Likumīgu lietotņu ID uzdošanās, lai palielinātu ieņēmumus no reklāmām.

Liela daļa Kaleidoscope monetizācijas ir saistīta ar Portugāles uzņēmumu Saturn Dynamic, kas apgalvo, ka sniedz likumīgus reklāmu monetizācijas pakalpojumus. Tomēr šķiet, ka tā infrastruktūra ir bijusi nozīmīga liela mēroga reklāmu krāpšanas veicināšanā, izplatot un monetizējot šīs maldinošās lietotnes.

Noslēguma domas: pastāvīgi mainīga apdraudējumu ainava

Gan IconAds, gan Kaleidoscope ilustrē mobilo reklāmu krāpšanas mainīgo raksturu. Šīs darbības sapludina robežu starp likumīgu un ļaunprātīgu rīcību, maskējot kaitīgu darbību aiz citādi nekaitīgām lietotnēm. Tā kā šo draudu taktika turpina mainīties, ir ļoti svarīgi, lai lietotņu veikali, izstrādātāji un lietotāji saglabātu modrību un kiberdrošības speciālisti būtu soli priekšā arvien izvairīgākiem krāpšanas mehānismiem.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,519
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...