Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie Oszustwa reklamowe IconAds

Oszustwa reklamowe IconAds

Do Mezo w Mobilne złośliwe oprogramowanie, Oprogramowanie reklamowe
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli i rozpracowali rozległą operację oszustwa reklam mobilnych obejmującą setki oszukańczych aplikacji na Androida. Kampania ta, nazwana IconAds, wykorzystywała wyrafinowane taktyki unikania, infiltrowała oficjalne sklepy z aplikacjami i wykorzystywała niczego niepodejrzewających użytkowników do osiągania ogromnych zysków reklamowych.

IconAds: Ukryta operacja oszustwa reklamowego w przebraniu

Badacze niedawno odkryli sieć oszustw reklamowych Androida oznaczoną jako IconAds, składającą się z 352 złośliwych aplikacji. Aplikacje te zostały zaprojektowane tak, aby wyświetlać natrętne, wyrwane z kontekstu reklamy bezpośrednio na ekranach użytkowników, jednocześnie ukrywając swoją obecność przed programem uruchamiającym urządzenie, co sprawia, że ręczne usuwanie jest prawie niemożliwe. Na szczęście Google usunął te aplikacje ze Sklepu Play.

W szczytowym momencie operacja IconAds odpowiadała za generowanie do 1,2 miliarda żądań ofert reklamowych dziennie. Ruch pochodził głównie z Brazylii, Meksyku i Stanów Zjednoczonych, co wskazuje na szerokie, ale skoncentrowane regionalnie podejście do kierowania.

IconAds nie jest zupełnie nowy. Dzieli cechy z innymi znanymi zagrożeniami śledzonymi pod nazwami takimi jak HiddenAds i Vapor, które wielokrotnie przemykały się przez obronę Play Store od co najmniej 2019 r.

Taktyki oszukańcze i uporczywe zachowanie

Podstawowe taktyki IconAds opierają się na ukryciu i wytrwałości. Te aplikacje:

  • Użyj zaciemniania, aby ukryć informacje dotyczące konkretnego urządzenia podczas komunikacji sieciowej.
  • Stosuj spójne wzorce nazewnictwa dla domen Command-and-Control (C2).
  • Zastąp domyślną aktywność MAIN/LAUNCHER aplikacji aliasem, aby kontrolować sposób wyświetlania i zachowania aplikacji.

Po zainstalowaniu aplikacja początkowo wyświetla normalną etykietę i ikonę. Jednak po uruchomieniu aktywuje ukryty alias aktywności, który pozostaje trwały, nawet po ponownym uruchomieniu, powodując zniknięcie aplikacji z ekranu głównego. Ta sztuczka uniemożliwia użytkownikom łatwe zlokalizowanie lub odinstalowanie aplikacji.

Ostateczny cel? Podawać pełnoekranowe reklamy interstitial, które przeszkadzają użytkownikowi niezależnie od tego, która legalna aplikacja jest używana.

W niektórych przypadkach warianty IconAds podszywają się pod Google Play Store lub inne zaufane aplikacje marki Google. Te aplikacje-wabiki przekierowują użytkowników do legalnych aplikacji, jednocześnie po cichu wykonując oszukańcze działania w tle.

Unik i ewolucja: ruchomy cel

W miarę rozwoju IconAds jego nowsze wersje zawierają teraz dodatkowe warstwy unikania:

  • Sprawdzanie licencji, które dezaktywuje złośliwe zachowania, jeśli aplikacja zostanie załadowana z innego komputera (często stosowana technika podczas analizy bezpieczeństwa).
  • Udoskonalone zaciemnianie w celu utrudnienia kontroli statycznej i dynamicznej.

Te aplikacje mają również celowo krótki okres istnienia, często są usuwane szybko po wykryciu, tylko po to, aby zostać ponownie wprowadzone ze zmodyfikowanym kodem i świeżymi tożsamościami. Badacze ostrzegają, że IconAds prawdopodobnie będzie nadal dostosowywać się i pojawiać ponownie pod różnymi postaciami.

Kaleidoscope: The Rise of Evil Twin Aplikacje

W powiązanym odkryciu eksperci ujawnili Kaleidoscope, operację oszustwa reklamowego, która wykorzystuje to, co naukowcy nazywają techniką „złego bliźniaka”. Model ten obejmuje dwie niemal identyczne wersje aplikacji:

  • Łagodna „przynęta bliźniacza” udostępniona w sklepie Google Play.
  • Złośliwy „zły bliźniak” rozpowszechniany był w sklepach z aplikacjami innych firm i fałszywych witrynach internetowych.

Złośliwa strona generuje fałszywe wyświetlenia reklam za pomocą reklam pełnoekranowych, bez żadnej interakcji z użytkownikiem, jednocześnie wykorzystując ten sam identyfikator aplikacji co przynęta, aby oszukać reklamodawców i nakłonić ich do płacenia za fałszywe zaangażowanie.

Kaleidoscope to ewolucja podobnego schematu znanego jako Konfety, który pierwotnie używał CaramelAds SDK. W najnowszej wersji odniesienia do CaramelAds zostały usunięte, a jego podstawowe funkcje ponownie zintegrowane z nowo nazwanymi SDK, takimi jak Leisure, Raccoon i Adsclub, aby utrudnić śledzenie i atrybucję.

Globalny zasięg i powiązania handlowe

Między grudniem 2024 r. a majem 2025 r. Kaleidoscope wpłynął na szeroką grupę użytkowników Androida, szczególnie w Ameryce Łacińskiej, Turcji, Egipcie i Indiach. Regiony te są szczególnie narażone ze względu na dużą powszechność sklepów z aplikacjami innych firm.

Główne cechy Kaleidoscope obejmują:

  • Pełnoekranowe reklamy śródmiąższowe uruchamiane bez udziału użytkownika.
  • Fałszywe reklamy wyświetlane za pośrednictwem złośliwych wersji aplikacji.
  • Podszywanie się pod prawdziwe identyfikatory aplikacji w celu maksymalizacji przychodów z reklam.

Znaczna część monetyzacji Kaleidoscope została powiązana z portugalską firmą o nazwie Saturn Dynamic, która twierdzi, że świadczy legalne usługi monetyzacji reklam. Jednak jej infrastruktura wydaje się być instrumentalna w umożliwianiu oszustw reklamowych na dużą skalę poprzez dystrybucję i monetyzację tych oszukańczych aplikacji.

Ostatnie przemyślenia: Ciągle zmieniający się krajobraz zagrożeń

Zarówno IconAds, jak i Kaleidoscope ilustrują ewolucyjną naturę oszustw w reklamach mobilnych. Operacje te zacierają granicę między zachowaniem uzasadnionym a złośliwym, maskując szkodliwą aktywność za nieszkodliwymi aplikacjami. Ponieważ zagrożenia te nadal zmieniają taktykę, ważne jest, aby sklepy z aplikacjami, deweloperzy i użytkownicy zachowali czujność, a specjaliści ds. cyberbezpieczeństwa byli o krok przed coraz bardziej wymijającymi mechanizmami oszustw.

Popularne

Najczęściej oglądane

Ładowanie...