Fraude de anúncios do IconAds
Pesquisadores de segurança cibernética descobriram e desmantelaram uma ampla operação de fraude de anúncios para dispositivos móveis envolvendo centenas de aplicativos Android enganosos. Chamada de IconAds, essa campanha utilizou táticas sofisticadas de evasão, infiltrou-se em lojas de aplicativos oficiais e explorou usuários desavisados para obter lucros massivos com publicidade.
Índice
IconAds: Uma operação furtiva de fraude publicitária disfarçada
Pesquisadores descobriram recentemente uma rede de fraude de anúncios para Android chamada IconAds, composta por 352 aplicativos maliciosos. Esses aplicativos foram projetados para exibir anúncios intrusivos e fora de contexto diretamente nas telas dos usuários, ocultando sua presença do inicializador do dispositivo, tornando a remoção manual quase impossível. Felizmente, o Google já removeu esses aplicativos da Play Store.
No seu auge, a operação IconAds foi responsável por gerar até 1,2 bilhão de solicitações de lances de anúncios diariamente. O tráfego se originou principalmente do Brasil, México e Estados Unidos, indicando uma abordagem de segmentação ampla, mas com foco regional.
O IconAds não é totalmente novo. Ele compartilha características com outras ameaças conhecidas, rastreadas sob nomes como HiddenAds e Vapor, que têm repetidamente passado despercebidas pelas defesas da Play Store desde pelo menos 2019.
Táticas enganosas e comportamento persistente
As principais táticas por trás dos IconAds dependem de discrição e persistência. Esses aplicativos:
- Use ofuscação para ocultar informações específicas do dispositivo durante as comunicações de rede.
- Empregar padrões de nomenclatura consistentes para seus domínios de Comando e Controle (C2).
- Substitua a atividade padrão MAIN/LAUNCHER do aplicativo por um alias para controlar como o aplicativo aparece e se comporta.
Após a instalação, o aplicativo exibe inicialmente um rótulo e um ícone normais. No entanto, uma vez iniciado, ele ativa um alias de atividade oculto que permanece persistente, mesmo após reinicializações, fazendo com que o aplicativo desapareça da tela inicial. Esse truque impede que os usuários localizem ou desinstalem o aplicativo facilmente.
O objetivo final? Exibir anúncios intersticiais em tela cheia que perturbem o usuário, independentemente do aplicativo legítimo em uso.
Em alguns casos, variantes do IconAds se disfarçam como a Google Play Store ou outros aplicativos confiáveis da marca Google. Esses aplicativos falsos redirecionam os usuários para aplicativos legítimos enquanto executam atividades fraudulentas silenciosamente em segundo plano.
Evasão e Evolução: Um Alvo em Movimento
À medida que o IconAds evoluiu, novas iterações agora incorporam camadas adicionais de evasão:
- Verificações de licença que desativam comportamento malicioso se o aplicativo for carregado lateralmente (uma técnica comum durante análise de segurança).
- Ofuscação aprimorada para complicar a inspeção estática e dinâmica.
Esses aplicativos também têm vidas úteis intencionalmente curtas, muitas vezes removidos rapidamente após a detecção, apenas para serem reintroduzidos com código modificado e novas identidades. Pesquisadores alertam que os IconAds provavelmente continuarão a se adaptar e ressurgir sob diferentes disfarces.
Caleidoscópio: A Ascensão dos Aplicativos Gêmeos Malignos
Em uma descoberta relacionada, especialistas expuseram o Kaleidoscope, uma operação de fraude publicitária que emprega o que os pesquisadores chamam de técnica do "gêmeo maligno". Este modelo envolve duas versões quase idênticas de um aplicativo:
- Um 'gêmeo chamariz' benigno hospedado na Google Play Store.
- Um 'gêmeo maligno' malicioso circulou por meio de lojas de aplicativos de terceiros ou sites falsificados.
A contraparte maliciosa gera impressões de anúncios fraudulentas usando anúncios em tela cheia, sem nenhuma interação do usuário, ao mesmo tempo em que utiliza o mesmo ID do aplicativo como isca para enganar os anunciantes e fazê-los pagar por engajamento falso.
O Kaleidoscope é uma evolução de um esquema semelhante conhecido como Konfety, que originalmente utilizava o SDK do CaramelAds. Em sua versão mais recente, as referências ao CaramelAds foram removidas e suas funções principais foram reintegradas a SDKs com novos nomes, como Leisure, Raccoon e Adsclub, para dificultar o rastreamento e a atribuição.
Alcance global e laços comerciais
Entre dezembro de 2024 e maio de 2025, o Kaleidoscope impactou uma ampla faixa de usuários do Android, principalmente na América Latina, Turquia, Egito e Índia. Essas regiões são especialmente vulneráveis devido à alta prevalência de lojas de aplicativos de terceiros.
As principais características do Kaleidoscope incluem:
- Anúncios intersticiais em tela cheia acionados sem intervenção do usuário.
- Visualizações de anúncios fraudulentos roteadas por meio de versões maliciosas de aplicativos.
- Representação de IDs de aplicativos legítimos para maximizar a receita de anúncios.
Grande parte da monetização do Kaleidoscope foi atribuída a uma empresa portuguesa chamada Saturn Dynamic, que alega fornecer serviços legítimos de monetização de anúncios. No entanto, sua infraestrutura parece ter sido fundamental para permitir fraudes publicitárias em larga escala por meio da distribuição e monetização desses aplicativos enganosos.
Considerações finais: um cenário de ameaças em constante mudança
Tanto o IconAds quanto o Kaleidoscope ilustram a natureza evolutiva da fraude de anúncios para dispositivos móveis. Essas operações confundem a linha entre comportamento legítimo e malicioso, ocultando atividades nocivas por trás de aplicativos que, de outra forma, seriam inofensivos. À medida que essas ameaças mudam de tática, é fundamental que lojas de aplicativos, desenvolvedores e usuários permaneçam vigilantes e que os profissionais de segurança cibernética estejam sempre um passo à frente dos mecanismos de fraude cada vez mais evasivos.
