Rabatttilbud for flere lisenser
Trusseldatabase Mobil skadelig programvare Annonsesvindel med IconAds

Annonsesvindel med IconAds

Med Mezo i Mobil skadelig programvare, Adware
Oversett til:

Forskere innen nettsikkerhet har avdekket og demontert en omfattende annonsesvindeloperasjon for mobiler som involverer hundrevis av villedende Android-apper. Kampanjen, kalt IconAds, har utnyttet sofistikerte unnvikelsestaktikker, infiltrert offisielle appbutikker og utnyttet intetanende brukere for massiv reklameprofitt.

IconAds: En skjult annonsesvindeloperasjon i forkledning

Forskere avdekket nylig et Android-nettverk for annonsesvindel kalt IconAds, som besto av 352 ondsinnede apper. Disse appene var designet for å vise påtrengende annonser utenfor kontekst direkte på brukernes skjermer, samtidig som de skjulte deres tilstedeværelse fra enhetens startprogram, noe som gjorde manuell fjerning nesten umulig. Heldigvis har Google siden fjernet disse appene fra Play Store.

På sitt meste genererte IconAds-virksomheten opptil 1,2 milliarder annonsebudforespørsler daglig. Trafikken kom hovedsakelig fra Brasil, Mexico og USA, noe som tyder på en bred, men regionalt fokusert målrettingstilnærming.

IconAds er ikke helt nytt. Det deler egenskaper med andre kjente trusler som spores under navn som HiddenAds og Vapor, som gjentatte ganger har sneket seg forbi Play Store-forsvar siden minst 2019.

Villedende taktikker og vedvarende oppførsel

Kjernetaktikken bak IconAds er basert på sniking og utholdenhet. Disse appene:

  • Bruk obfuskering for å skjule enhetsspesifikk informasjon under nettverkskommunikasjon.
  • Bruk konsistente navnemønstre for sine kommando-og-kontroll (C2)-domener.
  • Erstatt appens standard HOVED-/STARTER-aktivitet med et alias for å kontrollere hvordan appen vises og oppfører seg.

Ved installasjon viser appen først en vanlig etikett og et vanlig ikon. Når den først er startet, aktiverer den imidlertid et skjult aktivitetsalias som forblir permanent, selv etter omstart, noe som fører til at appen forsvinner fra startskjermen. Denne triksen hindrer brukere i å enkelt finne eller avinstallere appen.

Det endelige målet? Vise mellomliggende annonser i fullskjerm som forstyrrer brukeren uavhengig av hvilken legitim app som er i bruk.

I noen tilfeller utgir IconAds-varianter seg for å være Google Play Store eller andre pålitelige Google-merkede apper. Disse lokkeappene omdirigerer brukere til legitime apper mens de i stillhet utfører uredelig aktivitet i bakgrunnen.

Unnvikelse og evolusjon: Et bevegelig mål

Etter hvert som IconAds har utviklet seg, inkluderer nyere iterasjoner nå flere lag med unnvikelse:

  • Lisenssjekker som deaktiverer ondsinnet oppførsel hvis appen sidelastes (en vanlig teknikk under sikkerhetsanalyse).
  • Forbedret obfuskering for å komplisere både statisk og dynamisk inspeksjon.

Disse appene har også bevisst korte levetider, og fjernes ofte raskt etter oppdagelse, bare for å bli gjeninnført med modifisert kode og nye identiteter. Forskere advarer om at IconAds sannsynligvis vil fortsette å tilpasse seg og dukke opp igjen under andre forkledninger.

Kaleidoskop: De onde tvillingenes fremvekst-apper

I en relatert oppdagelse har eksperter avslørt Kaleidoscope, en annonsesvindeloperasjon som bruker det forskere kaller den «onde tvilling»-teknikken. Denne modellen involverer to nesten identiske versjoner av en app:

  • En godartet «lokkefugltvilling» som ligger på Google Play Store.
  • En ondsinnet «ond tvilling» sirkulerte via tredjeparts appbutikker eller forfalskede nettsteder.

Den ondsinnede motparten genererer falske annonsevisninger ved hjelp av fullskjermsannonser, uten brukerinteraksjon, samtidig som den bruker samme app-ID som lokkemiddelet for å lure annonsører til å betale for falsk engasjement.

Kaleidoscope er en videreutvikling av et lignende opplegg kjent som Konfety, som opprinnelig brukte CaramelAds SDK. I sin nyeste form har referanser til CaramelAds blitt fjernet, og kjernefunksjonene er reintegrert i nye SDK-er som Leisure, Raccoon og Adsclub for å hindre sporing og attribusjon.

Global rekkevidde og kommersielle bånd

Mellom desember 2024 og mai 2025 påvirket Kaleidoscope en bred gruppe Android-brukere, spesielt i Latin-Amerika, Tyrkia, Egypt og India. Disse regionene er spesielt sårbare på grunn av den høye utbredelsen av tredjeparts appbutikker.

Viktige egenskaper ved Kaleidoskop inkluderer:

  • Interstitial-annonser i fullskjerm utløses uten brukerinndata.
  • Falske annonsevisninger rutet gjennom skadelige appversjoner.
  • Etterligning av legitime app-ID-er for å maksimere annonseinntektene.

Mye av Kaleidoscopes inntektsgenerering har blitt sporet til et portugisisk selskap kalt Saturn Dynamic, som hevder å tilby legitime tjenester for inntektsgenerering av annonser. Infrastrukturen deres ser imidlertid ut til å ha vært avgjørende for å muliggjøre storstilt annonsesvindel gjennom distribusjon og inntektsgenerering av disse villedende appene.

Avsluttende tanker: Et trussellandskap i stadig endring

Både IconAds og Kaleidoscope illustrerer den utviklende naturen til mobilannonsesvindel. Disse operasjonene visker ut grensen mellom legitim og ondsinnet oppførsel ved å skjule skadelig aktivitet bak ellers godartede apper. Etter hvert som disse truslene fortsetter å endre taktikker, er det avgjørende at appbutikker, utviklere og brukere forblir årvåkne, og at cybersikkerhetsfagfolk ligger et skritt foran stadig mer unnvikende svindelmekanismer.

Trender

Mest sett

Laster inn...