Mashtrimi me reklamat e IconAds

Studiuesit e sigurisë kibernetike kanë zbuluar dhe çmontuar një operacion të gjerë mashtrimi me reklamat në celular që përfshin qindra aplikacione mashtruese Android. E quajtur IconAds, kjo fushatë ka përdorur taktika të sofistikuara shmangieje, ka infiltruar dyqanet zyrtare të aplikacioneve dhe ka shfrytëzuar përdoruesit e pavetëdijshëm për fitime masive nga reklamat.

IconAds: Një operacion i fshehtë mashtrimi me reklama i maskuar

Studiuesit zbuluan së fundmi një rrjet mashtrimi me reklama në Android të etiketuar IconAds, i përbërë nga 352 aplikacione keqdashëse. Këto aplikacione ishin projektuar për të shfaqur reklama ndërhyrëse dhe jashtë kontekstit direkt në ekranet e përdoruesve, duke fshehur praninë e tyre nga lëshuesi i pajisjes, duke e bërë heqjen manuale pothuajse të pamundur. Për fat të mirë, Google i ka hequr që atëherë këto aplikacione nga Play Store.

Në kulmin e saj, operacioni IconAds ishte përgjegjës për gjenerimin e deri në 1.2 miliardë kërkesave për oferta reklamash çdo ditë. Trafiku vinte kryesisht nga Brazili, Meksika dhe Shtetet e Bashkuara, duke treguar një qasje të gjerë, por të fokusuar në rajon, të synimit.

IconAds nuk është krejtësisht i ri. Ai ndan karakteristika me kërcënime të tjera të njohura të gjurmuara nën emra si HiddenAds dhe Vapor, të cilat kanë kaluar vazhdimisht mbrojtjet e Play Store që nga të paktën viti 2019.

Taktikat Mashtruese dhe Sjellja e Vazhdueshme

Taktikat kryesore pas IconAds mbështeten në fshehtësi dhe këmbëngulje. Këto aplikacione:

• Përdorni errësimin për të fshehur informacionin specifik të pajisjes gjatë komunikimeve në rrjet.
• Të përdorin modele të qëndrueshme emërtimi për domenet e tyre të Komandës dhe Kontrollit (C2).
• Zëvendësoni aktivitetin parazgjedhur KRYESOR/NISËS të aplikacionit me një pseudonim për të kontrolluar se si shfaqet dhe sillet aplikacioni.

Pas instalimit, aplikacioni fillimisht shfaq një etiketë dhe ikonë normale. Megjithatë, sapo të hapet, aktivizon një pseudonim aktiviteti të fshehur që mbetet i vazhdueshëm, edhe pas rinisjes, duke bërë që aplikacioni të zhduket nga ekrani kryesor. Kjo dredhi i pengon përdoruesit ta gjejnë ose ta çinstalojnë lehtësisht aplikacionin.

Objektivi përfundimtar? Të shfaqen reklama ndërmjetëse në ekran të plotë që shqetësojnë përdoruesin pavarësisht se cili aplikacion legjitim është në përdorim.

Në disa raste, variantet e IconAds maskohen si Google Play Store ose aplikacione të tjera të besueshme të markës Google. Këto aplikacione mashtruese i ridrejtojnë përdoruesit në aplikacione legjitime ndërsa kryejnë aktivitet mashtrues në heshtje në sfond.

Shmangia dhe Evolucioni: Një Shënjestër në Lëvizje

Ndërsa IconAds ka evoluar, versionet më të reja tani përfshijnë shtresa shtesë të shmangies:

• Kontrollet e licencës që çaktivizojnë sjelljen keqdashëse nëse aplikacioni ngarkohet në mënyrë të paanshme (një teknikë e zakonshme gjatë analizës së sigurisë).
• Mjegullim i përmirësuar për të komplikuar si inspektimin statik ashtu edhe atë dinamik.

Këto aplikacione kanë gjithashtu jetëgjatësi qëllimisht të shkurtër, shpesh hiqen shpejt pas zbulimit, vetëm për t'u rikthyer me kod të modifikuar dhe identitete të reja. Studiuesit paralajmërojnë se IconAds ka të ngjarë të vazhdojë të përshtatet dhe të rishfaqet nën maska të ndryshme.

Kaleidoscope: Ngritja e së Keqes Aplikacione Binjake

Në një zbulim të lidhur me këtë, ekspertët kanë zbuluar Kaleidoscope, një operacion mashtrimi me reklamat që përdor atë që studiuesit e quajnë teknikën e 'binjakut të lig'. Ky model përfshin dy versione pothuajse identike të një aplikacioni:

• Një 'binjak mashtrues' i mirë i vendosur në Google Play Store.
• Një 'binjak i lig' keqdashës qarkullonte nëpërmjet dyqaneve të aplikacioneve të palëve të treta ose faqeve të falsifikuara të internetit.

Homologu keqdashës gjeneron përshtypje mashtruese reklamash duke përdorur reklama në ekran të plotë, pa asnjë ndërveprim me përdoruesin, ndërkohë që përdor të njëjtin ID aplikacioni si karremi për të mashtruar reklamuesit që të paguajnë për angazhim të rremë.

Kaleidoscope është një evolucion i një skeme të ngjashme të njohur si Konfety, e cila fillimisht përdorte SDK-në e CaramelAds. Në formën e saj më të fundit, referencat për CaramelAds janë hequr dhe funksionet e saj kryesore janë riintegruar në SDK-të e reja si Leisure, Raccoon dhe Adsclub për të penguar gjurmimin dhe atribuimin.

Shtrirja Globale dhe Lidhjet Tregtare

Midis dhjetorit 2024 dhe majit 2025, Kaleidoscope ka ndikuar në një gamë të gjerë përdoruesish të Android, veçanërisht në Amerikën Latine, Turqi, Egjipt dhe Indi. Këto rajone janë veçanërisht të prekshme për shkak të përhapjes së lartë të dyqaneve të aplikacioneve të palëve të treta.

Karakteristikat kryesore të Kaleidoskopit përfshijnë:

• Reklamat ndërmjetëse në ekran të plotë aktivizohen pa ndërhyrjen e përdoruesit.
• Shikime mashtruese të reklamave të drejtuara përmes versioneve të aplikacioneve keqdashëse.
• Imitimi i ID-ve legjitime të aplikacioneve për të maksimizuar të ardhurat nga reklamat.

Pjesa më e madhe e fitimit të parave nga Kaleidoscope i atribuohet një kompanie portugeze të quajtur Saturn Dynamic, e cila pretendon se ofron shërbime legjitime të fitimit të parave nga reklamat. Megjithatë, infrastruktura e saj duket se ka qenë thelbësore në mundësimin e mashtrimeve në shkallë të gjerë me reklamat përmes shpërndarjes dhe fitimit të parave nga këto aplikacione mashtruese.

Mendime përfundimtare: Një peizazh kërcënimesh që ndryshon vazhdimisht

Si IconAds ashtu edhe Kaleidoscope ilustrojnë natyrën në zhvillim të mashtrimit me reklamat në celular. Këto operacione e zbehin vijën ndarëse midis sjelljes legjitime dhe keqdashëse duke fshehur aktivitetin e dëmshëm pas aplikacioneve që përndryshe do të ishin të mira. Ndërsa këto kërcënime vazhdojnë të ndryshojnë taktika, është thelbësore që dyqanet e aplikacioneve, zhvilluesit dhe përdoruesit të qëndrojnë vigjilentë dhe që profesionistët e sigurisë kibernetike të qëndrojnë një hap përpara mekanizmave gjithnjë e më të fshehtë të mashtrimit.