Мошенничество с рекламой IconAds

Исследователи кибербезопасности раскрыли и ликвидировали масштабную операцию по мошенничеству с мобильной рекламой, включавшую сотни обманных приложений Android. Эта кампания, получившая название IconAds, использовала сложные тактики уклонения, проникла в официальные магазины приложений и использовала ничего не подозревающих пользователей для получения огромной прибыли от рекламы.

IconAds: скрытая операция по мошенничеству с рекламой

Недавно исследователи обнаружили сеть мошеннической рекламы Android под названием IconAds, включающую 352 вредоносных приложения. Эти приложения были разработаны для показа навязчивой, вырванной из контекста рекламы прямо на экранах пользователей, скрывая свое присутствие от средства запуска устройства, что делало ручное удаление практически невозможным. К счастью, Google с тех пор удалил эти приложения из Play Store.

На пике своей деятельности IconAds отвечала за генерацию до 1,2 млрд запросов ставок на рекламу ежедневно. Трафик в основном исходил из Бразилии, Мексики и США, что указывает на широкий, но регионально-ориентированный подход к таргетингу.

IconAds не совсем новый. Он разделяет характеристики других известных угроз, отслеживаемых под такими именами, как HiddenAds и Vapor, которые неоднократно обходили защиту Play Store по крайней мере с 2019 года.

Обманные приемы и настойчивое поведение

Основная тактика IconAds основана на скрытности и настойчивости. Эти приложения:

• Используйте обфускацию, чтобы скрыть информацию об устройстве во время сетевых коммуникаций.
• Использовать единые шаблоны именования для доменов управления и контроля (C2).
• Замените действие MAIN/LAUNCHER приложения по умолчанию на псевдоним, чтобы управлять внешним видом и поведением приложения.

После установки приложение изначально отображает обычную метку и значок. Однако после запуска оно активирует скрытый псевдоним активности, который остается постоянным даже после перезагрузки, из-за чего приложение исчезает с главного экрана. Эта ловкость рук не позволяет пользователям легко найти или удалить приложение.

Конечная цель? Показывать полноэкранную рекламную вставку, которая отвлекает пользователя, независимо от того, какое легитимное приложение он использует.

В некоторых случаях варианты IconAds маскируются под Google Play Store или другие доверенные приложения под брендом Google. Эти приложения-обманки перенаправляют пользователей в легитимные приложения, при этом тихо выполняя мошенническую деятельность в фоновом режиме.

Уклонение и эволюция: движущаяся цель

По мере развития IconAds новые версии теперь включают дополнительные уровни уклонения:

• Проверки лицензий, которые деактивируют вредоносное поведение, если приложение загружено из сторонних источников (распространенный метод анализа безопасности).
• Улучшенная обфускация для усложнения как статического, так и динамического контроля.

Эти приложения также имеют намеренно короткий срок службы, часто удаляются быстро после обнаружения, только чтобы быть введенными снова с измененным кодом и новыми идентификаторами. Исследователи предупреждают, что IconAds, вероятно, продолжит адаптироваться и появляться под разными обличьями.

Калейдоскоп: Восстание злых приложений-близнецов

В связанном с этим открытии эксперты разоблачили Kaleidoscope, операцию по мошенничеству с рекламой, которая использует то, что исследователи называют техникой «злого близнеца». Эта модель включает в себя две почти идентичные версии приложения:

• Безобидный «двойник-приманка», размещенный в магазине Google Play.
• Вредоносный «злой близнец» распространялся через сторонние магазины приложений или поддельные веб-сайты.

Злонамеренный аналог генерирует мошеннические показы рекламы с помощью полноэкранных объявлений без какого-либо взаимодействия с пользователем, используя тот же идентификатор приложения, что и у приманки, чтобы обманом заставить рекламодателей платить за фальшивое взаимодействие.

Kaleidoscope — это эволюция похожей схемы, известной как Konfety, которая изначально использовала CaramelAds SDK. В последней форме ссылки на CaramelAds были удалены, а его основные функции повторно интегрированы в новые SDK, такие как Leisure, Raccoon и Adsclub, чтобы затруднить отслеживание и атрибуцию.

Глобальный охват и коммерческие связи

В период с декабря 2024 года по май 2025 года Kaleidoscope затронул широкий круг пользователей Android, особенно в Латинской Америке, Турции, Египте и Индии. Эти регионы особенно уязвимы из-за высокой распространенности сторонних магазинов приложений.

Ключевые характеристики Калейдоскопа включают в себя:

• Полноэкранная межстраничная реклама запускается без участия пользователя.
• Мошеннические просмотры рекламы, осуществляемые через вредоносные версии приложений.
• Выдача себя за подлинные идентификаторы приложений для максимизации доходов от рекламы.

Большая часть монетизации Kaleidoscope была отслежена до португальской компании Saturn Dynamic, которая утверждает, что предоставляет законные услуги по монетизации рекламы. Однако ее инфраструктура, по-видимому, сыграла важную роль в обеспечении крупномасштабного мошенничества с рекламой посредством распространения и монетизации этих обманных приложений.

Заключительные мысли: постоянно меняющийся ландшафт угроз

IconAds и Kaleidoscope иллюстрируют эволюционирующий характер мошенничества с мобильной рекламой. Эти операции стирают грань между законным и вредоносным поведением, скрывая вредоносную активность за безобидными приложениями. Поскольку эти угрозы продолжают менять тактику, магазинам приложений, разработчикам и пользователям крайне важно сохранять бдительность, а специалистам по кибербезопасности — быть на шаг впереди все более уклончивых механизмов мошенничества.