Popust za več licenc
Podjetje o grožnjah Mobilna zlonamerna programska oprema Goljufije z oglasi IconAds

Goljufije z oglasi IconAds

Do leta Mezo leta Mobilna zlonamerna programska oprema, Adware
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili in razbili obsežno operacijo goljufij z mobilnimi oglasi, v katero je bilo vpletenih na stotine zavajajočih aplikacij za Android. Ta kampanja, poimenovana IconAds, je izkoriščala prefinjene taktike izogibanja, vdrla v uradne trgovine z aplikacijami in izkoriščala nič hudega sluteče uporabnike za ogromne dobičke od oglaševanja.

IconAds: Prikrita operacija oglaševalske goljufije v preobleki

Raziskovalci so nedavno odkrili omrežje za goljufije z oglasi za Android z imenom IconAds, ki ga sestavlja 352 zlonamernih aplikacij. Te aplikacije so bile zasnovane tako, da so na zaslonih uporabnikov prikazovale vsiljive oglase izven konteksta, hkrati pa so svojo prisotnost skrivale pred zaganjalnikom naprave, zaradi česar je bila ročna odstranitev skoraj nemogoča. Na srečo je Google te aplikacije od takrat odstranil iz Trgovine Play.

Na svojem vrhuncu je operacija IconAds dnevno generirala do 1,2 milijarde zahtev za oglaševalske ponudbe. Promet je prihajal predvsem iz Brazilije, Mehike in Združenih držav Amerike, kar kaže na širok, a regionalno osredotočen pristop k ciljanju.

IconAds ni povsem nov. Ima skupne značilnosti z drugimi znanimi grožnjami, ki jih spremljamo pod imeni, kot sta HiddenAds in Vapor, ki se vsaj od leta 2019 nenehno prikradejo mimo obrambe Trgovine Play.

Zavajajoče taktike in vztrajno vedenje

Osnovne taktike IconAds temeljijo na prikritosti in vztrajnosti. Te aplikacije:

  • Uporabite zatemnitev, da skrijete informacije, specifične za napravo, med omrežno komunikacijo.
  • Uporabljajte dosledne vzorce poimenovanja za svoje domene poveljevanja in nadzora (C2).
  • Privzeto dejavnost GLAVNI/ZAGONILEC aplikacije zamenjajte z vzdevkom, s katerim boste nadzorovali, kako se aplikacija prikaže in obnaša.

Ob namestitvi aplikacija sprva prikaže običajno oznako in ikono. Ko pa se zažene, aktivira skriti vzdevek dejavnosti, ki ostane prisoten tudi po ponovnem zagonu, zaradi česar aplikacija izgine z začetnega zaslona. Ta zvijača uporabnikom preprečuje enostavno iskanje ali odstranitev aplikacije.

Končni cilj? Prikazovati celozaslonske vmesne oglase, ki motijo uporabnika ne glede na to, katera legitimna aplikacija je v uporabi.

V nekaterih primerih se različice IconAds maskirajo kot Trgovina Google Play ali druge zaupanja vredne aplikacije blagovne znamke Google. Te vabljive aplikacije preusmerjajo uporabnike na legitimne aplikacije, medtem ko v ozadju tiho izvajajo goljufive dejavnosti.

Izogibanje in evolucija: premična tarča

Z razvojem IconAds novejše različice zdaj vključujejo dodatne plasti izogibanja:

  • Preverjanja licenc, ki deaktivirajo zlonamerno vedenje, če je aplikacija naložena stransko (pogosta tehnika med varnostno analizo).
  • Izboljšano zakrivanje za otežitev statičnega in dinamičnega pregleda.

Te aplikacije imajo tudi namerno kratko življenjsko dobo, pogosto so hitro odstranjene po odkritju, le da so ponovno uvedene s spremenjeno kodo in novimi identitetami. Raziskovalci opozarjajo, da se bodo IconAds verjetno še naprej prilagajali in ponovno pojavljali pod različnimi preoblekami.

Kalejdoskop: Vzpon zlobnih dvojčkov

V sorodnem odkritju so strokovnjaki razkrili Kaleidoscope, operacijo oglaševalske goljufije, ki uporablja tehniko, ki jo raziskovalci imenujejo "zlobni dvojček". Ta model vključuje dve skoraj identični različici aplikacije:

  • Nežna »vaba dvojčka«, ki gostuje v trgovini Google Play.
  • Zlonamerni »zlobni dvojček«, ki kroži prek trgovin z aplikacijami tretjih oseb ali ponarejenih spletnih mest.

Zlonamerni nasprotnik ustvarja goljufive prikaze oglasov z uporabo celozaslonskih oglasov, brez kakršne koli interakcije z uporabnikom, pri čemer izkorišča isti ID aplikacije kot vaba, da oglaševalce zavede, da plačajo za lažno interakcijo.

Kaleidoscope je razvoj podobne sheme, znane kot Konfety, ki je prvotno uporabljala komplet za razvoj programske opreme CaramelAds. V svoji najnovejši obliki so bile reference na CaramelAds odstranjene, njegove osnovne funkcije pa so bile ponovno integrirane v novoimenovane komplete za razvoj programske opreme, kot so Leisure, Raccoon in Adsclub, da bi se oviralo sledenje in atribucija.

Globalni doseg in komercialne vezi

Med decembrom 2024 in majem 2025 je Kaleidoscope vplival na širok krog uporabnikov Androida, zlasti v Latinski Ameriki, Turčiji, Egiptu in Indiji. Te regije so še posebej ranljive zaradi velike razširjenosti trgovin z aplikacijami tretjih oseb.

Ključne značilnosti kalejdoskopa vključujejo:

  • Vmesni oglasi na celotnem zaslonu, ki so se sprožili brez uporabniškega vnosa.
  • Goljufivi ogledi oglasov, preusmerjeni prek zlonamernih različic aplikacij.
  • Ponarejanje z legitimnimi ID-ji aplikacij za povečanje prihodkov od oglasov.

Velik del monetizacije Kaleidoscopea je bil vezan na portugalsko podjetje Saturn Dynamic, ki trdi, da ponuja legitimne storitve monetizacije oglasov. Vendar pa je bila njegova infrastruktura očitno ključna pri omogočanju obsežnih oglaševalskih goljufij z distribucijo in monetizacijo teh zavajajočih aplikacij.

Zaključne misli: Nenehno spreminjajoča se pokrajina groženj

Tako IconAds kot Kaleidoscope ponazarjata razvijajočo se naravo goljufij z mobilnimi oglasi. Te operacije brišejo mejo med legitimnim in zlonamernim vedenjem, saj škodljivo dejavnost prikrivajo za sicer neškodljivimi aplikacijami. Ker te grožnje nenehno spreminjajo taktike, je ključnega pomena, da trgovine z aplikacijami, razvijalci in uporabniki ostanejo pozorni, strokovnjaki za kibernetsko varnost pa, da so korak pred vse bolj izmikajočimi se mehanizmi goljufij.

V trendu

Najbolj gledan

Nalaganje...