Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware Advertentiefraude van IconAds

Advertentiefraude van IconAds

Tegen Mezo in Mobiele malware, Advertentie-adware
Vertalen naar:

Cybersecurityonderzoekers hebben een omvangrijke mobiele advertentiefraudeoperatie ontdekt en ontmanteld, waarbij honderden misleidende Android-apps betrokken waren. Deze campagne, genaamd IconAds, maakte gebruik van geavanceerde ontwijkingstechnieken, infiltreerde officiële app-stores en exploiteerde nietsvermoedende gebruikers voor enorme advertentiewinsten.

IconAds: een vermomde, heimelijke advertentiefraudeoperatie

Onderzoekers hebben onlangs een Android-advertentiefraudenetwerk ontdekt met de naam IconAds, dat bestaat uit 352 kwaadaardige apps. Deze apps waren ontworpen om opdringerige, niet-contextuele advertenties direct op het scherm van gebruikers weer te geven, terwijl ze hun aanwezigheid verborgen hielden voor de launcher van het apparaat. Handmatig verwijderen was daardoor vrijwel onmogelijk. Gelukkig heeft Google deze apps inmiddels uit de Play Store verwijderd.

Op het hoogtepunt was IconAds verantwoordelijk voor het genereren van tot wel 1,2 miljard advertentieaanvragen per dag. Het verkeer kwam voornamelijk uit Brazilië, Mexico en de Verenigde Staten, wat wijst op een brede, maar regionaal gerichte targetingaanpak.

IconAds is niet helemaal nieuw. Het deelt kenmerken met andere bekende bedreigingen die onder namen als HiddenAds en Vapor worden gevolgd en die sinds minstens 2019 herhaaldelijk de Play Store-beveiliging omzeilen.

Misleidende tactieken en aanhoudend gedrag

De kerntactieken achter IconAds zijn gebaseerd op stealth en persistentie. Deze apps:

  • Gebruik verduistering om apparaatspecifieke informatie te verbergen tijdens netwerkcommunicatie.
  • Gebruik consistente naamgevingspatronen voor hun Command-and-Control (C2)-domeinen.
  • Vervang de standaard MAIN/LAUNCHER-activiteit van de app door een alias om te bepalen hoe de app wordt weergegeven en zich gedraagt.

Na installatie toont de app aanvankelijk een normaal label en pictogram. Eenmaal gestart, activeert de app echter een verborgen activiteitsalias die permanent blijft, zelfs na opnieuw opstarten, waardoor de app van het startscherm verdwijnt. Deze truc verhindert dat gebruikers de app gemakkelijk kunnen vinden of verwijderen.

Het uiteindelijke doel? Het tonen van interstitiële advertenties op volledig scherm die de gebruiker storen, ongeacht welke legitieme app wordt gebruikt.

In sommige gevallen doen IconAds-varianten zich voor als de Google Play Store of andere vertrouwde Google-apps. Deze lok-apps leiden gebruikers door naar legitieme apps, terwijl ze op de achtergrond stiekem frauduleuze activiteiten uitvoeren.

Ontwijking en evolutie: een bewegend doelwit

Naarmate IconAds zich ontwikkelde, bevatten nieuwere versies nu extra lagen van ontwijking:

  • Licentiecontroles die schadelijk gedrag uitschakelen als de app is 'sideloaded' (een veelgebruikte techniek tijdens beveiligingsanalyses).
  • Verbeterde verduistering om zowel statische als dynamische inspectie te compliceren.

Deze apps hebben ook een opzettelijk korte levensduur en worden vaak snel na detectie verwijderd, om vervolgens met aangepaste code en nieuwe identiteiten opnieuw te worden geïntroduceerd. Onderzoekers waarschuwen dat IconAds zich waarschijnlijk zullen blijven aanpassen en in verschillende gedaantes zullen terugkeren.

Kaleidoscope: De opkomst van Evil Twin-apps

In een vergelijkbare ontdekking hebben experts Kaleidoscope blootgelegd, een advertentiefraudeoperatie die gebruikmaakt van wat onderzoekers de 'evil twin'-techniek noemen. Dit model omvat twee vrijwel identieke versies van een app:

  • Een goedaardige 'loktweeling' gehost op de Google Play Store.
  • Een kwaadaardige 'evil twin' circuleert via app-winkels van derden of namaakwebsites.

De kwaadaardige variant genereert frauduleuze advertentie-impressies met behulp van advertenties op volledig scherm, zonder enige interactie met de gebruiker, en gebruikt dezelfde app-ID als de afleidingsmanoeuvre om adverteerders te verleiden te betalen voor nepinteractie.

Kaleidoscope is een doorontwikkeling van een vergelijkbaar concept genaamd Konfety, dat oorspronkelijk de CaramelAds SDK gebruikte. In de nieuwste versie zijn verwijzingen naar CaramelAds verwijderd en zijn de kernfuncties opnieuw geïntegreerd in nieuwe SDK's zoals Leisure, Raccoon en Adsclub om tracking en attributie te beperken.

Wereldwijd bereik en commerciële banden

Tussen december 2024 en mei 2025 had Kaleidoscope gevolgen voor een groot aantal Android-gebruikers, met name in Latijns-Amerika, Turkije, Egypte en India. Deze regio's zijn bijzonder kwetsbaar vanwege de grote aanwezigheid van app-stores van derden.

Belangrijke kenmerken van Kaleidoscope zijn:

  • Interstitiële advertenties op volledig scherm die worden geactiveerd zonder invoer van de gebruiker.
  • Frauduleuze advertentieweergaven worden via kwaadaardige appversies gerouteerd.
  • Imitatie van legitieme app-ID's om advertentie-inkomsten te maximaliseren.

Een groot deel van de inkomsten van Kaleidoscope is terug te voeren op een Portugees bedrijf genaamd Saturn Dynamic, dat beweert legitieme advertentie-inkomstendiensten te leveren. Hun infrastructuur lijkt echter een belangrijke rol te hebben gespeeld bij het mogelijk maken van grootschalige advertentiefraude door de distributie en inkomsten uit deze misleidende apps.

Laatste gedachten: een voortdurend veranderend dreigingslandschap

Zowel IconAds als Kaleidoscope illustreren de evoluerende aard van mobiele advertentiefraude. Deze activiteiten vervagen de grens tussen legitiem en kwaadaardig gedrag door schadelijke activiteiten te verbergen achter anderszins onschuldige apps. Naarmate deze bedreigingen steeds vaker van tactiek veranderen, is het cruciaal dat app-winkels, ontwikkelaars en gebruikers waakzaam blijven en dat cybersecurityprofessionals de steeds ongrijpbaardere fraudemechanismen een stap voor blijven.

Trending

Meest bekeken

Bezig met laden...