Multilicenčná zľavová ponuka
Databáza hrozieb Mobilný malvér Reklamný podvod IconAds

Reklamný podvod IconAds

Do roku Mezo v roku Mobilný malvér, Adware
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili a rozložili rozsiahlu podvodnú operáciu s mobilnou reklamou zahŕňajúcu stovky klamlivých aplikácií pre Android. Táto kampaň s názvom IconAds využíva sofistikované taktiky obchádzania, infiltrovala oficiálne obchody s aplikáciami a zneužívala nič netušiacich používateľov na dosiahnutie obrovských ziskov z reklamy.

IconAds: Tajná operácia s reklamným podvodom v prestrojení

Výskumníci nedávno odhalili podvodnú sieť s reklamami pre Android s názvom IconAds, ktorá pozostáva z 352 škodlivých aplikácií. Tieto aplikácie boli navrhnuté tak, aby zobrazovali rušivé reklamy mimo kontextu priamo na obrazovkách používateľov a zároveň skrývali svoju prítomnosť pred spúšťačom zariadenia, čo ich manuálne odstránenie takmer znemožňovalo. Našťastie spoločnosť Google tieto aplikácie odvtedy odstránila z Obchodu Play.

Na vrchole svojej popularity bola operácia IconAds zodpovedná za generovanie až 1,2 miliardy žiadostí o cenové ponuky na reklamu denne. Návštevnosť pochádzala prevažne z Brazílie, Mexika a Spojených štátov, čo poukazuje na široký, ale regionálne zameraný prístup k cieleniu.

IconAds nie je úplne nový. Zdieľa charakteristiky s inými známymi hrozbami sledovanými pod názvami ako HiddenAds a Vapor, ktoré sa opakovane prepašujú cez ochranu Obchodu Play minimálne od roku 2019.

Klamlivé taktiky a pretrvávajúce správanie

Základné taktiky IconAds sa spoliehajú na nenápadnosť a vytrvalosť. Tieto aplikácie:

  • Na skrytie informácií špecifických pre zariadenie počas sieťovej komunikácie použite zmazavanie.
  • Používať konzistentné vzorce pomenovania pre svoje domény velenia a riadenia (C2).
  • Nahraďte predvolenú aktivitu aplikácie MAIN/LAUNCHER aliasom, ktorý bude ovládať, ako sa aplikácia zobrazuje a správa.

Po inštalácii aplikácia najprv zobrazí normálny popis a ikonu. Po spustení sa však aktivuje skrytý alias aktivity, ktorý zostáva trvalý aj po reštarte, čo spôsobí, že aplikácia zmizne z domovskej obrazovky. Tento trik bráni používateľom v ľahkom nájdení alebo odinštalovaní aplikácie.

Konečným cieľom? Zobrazovať intersticiálne reklamy na celú obrazovku, ktoré rušia používateľa bez ohľadu na to, ktorá legitímna aplikácia sa používa.

V niektorých prípadoch sa varianty IconAds maskujú ako Obchod Google Play alebo iné dôveryhodné aplikácie značky Google. Tieto návnadové aplikácie presmerujú používateľov na legitímne aplikácie a zároveň potichu vykonávajú podvodné aktivity na pozadí.

Úniky a evolúcia: Pohyblivý cieľ

S vývojom služby IconAds novšie verzie teraz obsahujú ďalšie vrstvy obchádzania:

  • Kontroly licencií, ktoré deaktivujú škodlivé správanie, ak je aplikácia stiahnutá z iných zdrojov (bežná technika počas bezpečnostnej analýzy).
  • Vylepšené zahmlievanie komplikuje statickú aj dynamickú kontrolu.

Tieto aplikácie majú tiež zámerne krátku životnosť, často sú po odhalení rýchlo odstránené, len aby boli znovu zavedené s upraveným kódom a novými identitami. Výskumníci varujú, že IconAds sa pravdepodobne budú naďalej prispôsobovať a znovu sa objavovať pod rôznymi rúškami.

Kaleidoskop: Vzostup zlých dvojčiat

V súvisiacom objave odborníci odhalili Kaleidoscope, operáciu s reklamným podvodom, ktorá využíva to, čo výskumníci nazývajú technikou „zlého dvojčaťa“. Tento model zahŕňa dve takmer identické verzie aplikácie:

  • Neškodné „návnadové dvojča“ hostované v Obchode Google Play.
  • Škodlivé „zlé dvojča“ šírené prostredníctvom obchodov s aplikáciami tretích strán alebo falzifikátnych webových stránok.

Zlomyslný náprotivok generuje podvodné zobrazenia reklám pomocou reklám na celú obrazovku bez akejkoľvek interakcie s používateľom, pričom využíva rovnaké ID aplikácie ako návnada, aby oklamal inzerentov a prinútil ich platiť za falošnú interakciu.

Kaleidoscope je vývojom podobnej schémy známej ako Konfety, ktorá pôvodne používala CaramelAds SDK. V najnovšej podobe boli odkazy na CaramelAds odstránené a jeho základné funkcie boli znovu integrované do novo pomenovaných SDK, ako sú Leisure, Raccoon a Adsclub, aby sa zabránilo sledovaniu a atribucii.

Globálny dosah a obchodné väzby

Medzi decembrom 2024 a májom 2025 mal Kaleidoscope vplyv na širokú škálu používateľov systému Android, najmä v Latinskej Amerike, Turecku, Egypte a Indii. Tieto regióny sú obzvlášť zraniteľné kvôli vysokej rozšírenosti obchodov s aplikáciami tretích strán.

Medzi kľúčové vlastnosti kaleidoskopu patria:

  • Intersticiálne reklamy na celú obrazovku sa spúšťali bez zásahu používateľa.
  • Zobrazenia podvodných reklám smerované cez škodlivé verzie aplikácií.
  • Vydávanie sa za legitímne ID aplikácií s cieľom maximalizovať príjmy z reklamy.

Veľká časť monetizácie Kaleidoscope sa spája s portugalskou spoločnosťou s názvom Saturn Dynamic, ktorá tvrdí, že poskytuje legitímne služby monetizácie reklám. Zdá sa však, že jej infraštruktúra zohrala kľúčovú úlohu pri umožňovaní rozsiahlych reklamných podvodov prostredníctvom distribúcie a monetizácie týchto klamlivých aplikácií.

Záverečné myšlienky: Neustále sa meniaca situácia s hrozbami

IconAds aj Kaleidoscope ilustrujú vyvíjajúcu sa povahu podvodov s mobilnou reklamou. Tieto operácie stierajú hranicu medzi legitímnym a škodlivým správaním tým, že maskujú škodlivú aktivitu za inak neškodnými aplikáciami. Keďže tieto hrozby neustále menia taktiky, je nevyhnutné, aby obchody s aplikáciami, vývojári aj používatelia zostali ostražití a aby odborníci na kybernetickú bezpečnosť zostali o krok vpred pred čoraz viac vyhýbavými mechanizmami podvodov.

Trendy

Najviac videné

Načítava...