Frauda publicitară IconAds
Cercetătorii în domeniul securității cibernetice au descoperit și au demontat o vastă operațiune de fraudă publicitară mobilă care implica sute de aplicații Android înșelătoare. Denumită IconAds, această campanie a folosit tactici sofisticate de evitare a atacurilor, s-a infiltrat în magazinele oficiale de aplicații și a exploatat utilizatori neatenți pentru profituri masive din publicitate.
Cuprins
IconAds: O operațiune de fraudă publicitară ascunsă, deghizată
Cercetătorii au descoperit recent o rețea de fraudă publicitară pe Android, numită IconAds, care cuprinde 352 de aplicații rău intenționate. Aceste aplicații au fost concepute pentru a afișa reclame intruzive, scoase din context, direct pe ecranele utilizatorilor, ascunzându-le în același timp prezența de la lansatorul dispozitivului, ceea ce face ca eliminarea manuală să fie aproape imposibilă. Din fericire, Google a eliminat ulterior aceste aplicații din Magazin Play.
În perioada de vârf, operațiunea IconAds a fost responsabilă pentru generarea a până la 1,2 miliarde de solicitări de licitare pentru anunțuri zilnic. Traficul provenea în principal din Brazilia, Mexic și Statele Unite, ceea ce indică o abordare de direcționare amplă, dar axată pe regiune.
IconAds nu este complet nou. Are caracteristici comune cu alte amenințări cunoscute, urmărite sub nume precum HiddenAds și Vapor, care au trecut în mod repetat prin apărarea Magazinului Play încă din 2019.
Tactici înșelătoare și comportament persistent
Tacticile principale din spatele IconAds se bazează pe ascundere și persistență. Aceste aplicații:
- Folosește ofuscarea pentru a ascunde informațiile specifice dispozitivului în timpul comunicațiilor în rețea.
- Să utilizeze modele de denumire consecvente pentru domeniile lor de Comandă și Control (C2).
- Înlocuiți activitatea implicită MAIN/LAUNCHER a aplicației cu un alias pentru a controla modul în care apare și se comportă aplicația.
La instalare, aplicația afișează inițial o etichetă și o pictogramă normale. Cu toate acestea, odată lansată, activează un alias ascuns care rămâne persistent, chiar și după reporniri, ceea ce face ca aplicația să dispară de pe ecranul principal. Acest truc împiedică utilizatorii să localizeze sau să dezinstaleze cu ușurință aplicația.
Obiectivul final? Difuzarea de reclame interstițiale pe tot ecranul care să perturbe utilizatorul, indiferent de aplicația legitimă utilizată.
În unele cazuri, variantele IconAds se maschează drept Magazin Google Play sau alte aplicații de încredere marca Google. Aceste aplicații capcană redirecționează utilizatorii către aplicații legitime, în timp ce execută în mod silențios activități frauduloase în fundal.
Evaziune și evoluție: o țintă mobilă
Pe măsură ce IconAds a evoluat, versiunile mai noi încorporează acum niveluri suplimentare de evitare a erorilor:
- Verificări ale licenței care dezactivează comportamentul rău intenționat dacă aplicația este încărcată lateral (o tehnică comună în timpul analizei de securitate).
- Ofuscare îmbunătățită pentru a complica atât inspecția statică, cât și cea dinamică.
Aceste aplicații au, de asemenea, durate de viață intenționat scurte, adesea eliminate rapid după detectare, doar pentru a fi reintroduse cu cod modificat și identități noi. Cercetătorii avertizează că IconAds va continua probabil să se adapteze și să reapară sub diferite denumiri.
Caleidoscop: Ascensiunea Răului - Aplicații gemene
Într-o descoperire similară, experții au expus Kaleidoscope, o operațiune de fraudă publicitară care folosește ceea ce cercetătorii numesc tehnica „geamănului malefic”. Acest model implică două versiuni aproape identice ale unei aplicații:
- O „momeală geamănă” benignă găzduită în Magazinul Google Play.
- Un „geamăn malefic” malițios a circulat prin intermediul unor magazine de aplicații terțe sau al unor site-uri web contrafăcute.
Omologul răuvoitor generează afișări frauduloase ale reclamelor folosind reclame pe ecran complet, fără nicio interacțiune cu utilizatorul, în timp ce utilizează același ID de aplicație ca și momeala pentru a păcăli agenții de publicitate să plătească pentru interacțiune falsă.
Kaleidoscope este o evoluție a unei scheme similare cunoscute sub numele de Konfety, care inițial folosea SDK-ul CaramelAds. În cea mai recentă formă, referințele la CaramelAds au fost eliminate, iar funcțiile sale principale au fost reintegrate în SDK-uri nou denumite, precum Leisure, Raccoon și Adsclub, pentru a îngreuna urmărirea și atribuirea.
Acoperire globală și legături comerciale
Între decembrie 2024 și mai 2025, Kaleidoscope a afectat o gamă largă de utilizatori Android, în special în America Latină, Turcia, Egipt și India. Aceste regiuni sunt deosebit de vulnerabile din cauza prevalenței ridicate a magazinelor de aplicații terțe.
Caracteristicile cheie ale caleidoscopului includ:
- Anunțurile interstițiale pe ecran complet au fost declanșate fără intervenția utilizatorului.
- Vizualizările anunțurilor frauduloase direcționate prin versiuni de aplicații rău intenționate.
- Identificarea unor ID-uri legitime de aplicație pentru a maximiza veniturile din publicitate.
O mare parte din monetizarea Kaleidoscope a fost atribuită unei companii portugheze numite Saturn Dynamic, care pretinde că oferă servicii legitime de monetizare a reclamelor. Cu toate acestea, infrastructura sa pare să fi fost esențială în permiterea fraudei publicitare la scară largă prin distribuirea și monetizarea acestor aplicații înșelătoare.
Gânduri finale: Un peisaj al amenințărilor în continuă schimbare
Atât IconAds, cât și Kaleidoscope ilustrează natura evolutivă a fraudei publicitare mobile. Aceste operațiuni estompează linia dintre comportamentul legitim și cel rău intenționat, ascunzând activitățile dăunătoare în spatele unor aplicații altfel benigne. Pe măsură ce aceste amenințări continuă să își schimbe tacticile, este esențial ca magazinele de aplicații, dezvoltatori și utilizatori să rămână vigilenți, iar profesioniștii în securitate cibernetică să fie cu un pas înaintea mecanismelor de fraudă din ce în ce mai evazive.
