Попуст за више лиценци
Тхреат Датабасе Мобиле Малваре Превара са огласима на IconAds-у

Превара са огласима на IconAds-у

До Mezo. у Мобиле Малваре, Адваре
Преведи на:

Истраживачи сајбер безбедности открили су и демонтирали распрострањену операцију преваре са мобилним огласима која је укључивала стотине обмањујућих Андроид апликација. Названа IconAds, ова кампања је користила софистициране тактике избегавања, инфилтрирала се у званичне продавнице апликација и експлоатисала неслутеће кориснике за огроман профит од оглашавања.

IconAds: Прикривена операција преваре са огласима

Истраживачи су недавно открили мрежу за превару са огласима за Андроид под називом IconAds, која се састоји од 352 злонамерне апликације. Ове апликације су дизајниране да приказују наметљиве, ванконтекстне огласе директно на екранима корисника, док скривају своје присуство од покретача уређаја, што је ручно уклањање учинило готово немогућим. Срећом, Google је од тада уклонио ове апликације из Play продавнице.

На свом врхунцу, IconAds је био одговоран за генерисање до 1,2 милијарде захтева за понуде за огласе дневно. Саобраћај је првенствено потицао из Бразила, Мексика и Сједињених Држава, што указује на широк, али регионално фокусиран приступ циљању.

IconAds није потпуно нов. Дели карактеристике са другим познатим претњама које се прате под именима као што су HiddenAds и Vapor, а које се више пута провлаче поред одбране Play продавнице најмање од 2019. године.

Обмањујуће тактике и упорно понашање

Основне тактике иза IconAds-а ослањају се на прикривеност и истрајност. Ове апликације:

  • Користите замагљивање да бисте сакрили информације специфичне за уређај током мрежне комуникације.
  • Користити доследне обрасце именовања за своје домене командовања и контроле (C2).
  • Замените подразумевану активност MAIN/LAUNCHER апликације алијасом да бисте контролисали како се апликација приказује и понаша.

Након инсталације, апликација у почетку приказује нормалну ознаку и икону. Међутим, када се покрене, активира скривени алиас активности који остаје постојан, чак и након поновног покретања, што доводи до тога да апликација нестане са почетног екрана. Ова спретност спречава кориснике да лако пронађу или деинсталирају апликацију.

Крајњи циљ? Приказивање међупросторних огласа преко целог екрана који ометају корисника без обзира на то која легитимна апликација се користи.

У неким случајевима, варијанте IconAds-а се маскирају као Google Play продавница или друге поуздане апликације бренда Google. Ове апликације-мамци преусмеравају кориснике на легитимне апликације док тихо извршавају преварне активности у позадини.

Избегавање и еволуција: Покретна мета

Како се IconAds развијао, новије верзије сада укључују додатне слојеве избегавања:

  • Провере лиценци које деактивирају злонамерно понашање ако се апликација инсталира са стране (уобичајена техника током безбедносне анализе).
  • Побољшано замагљивање ради компликованије статичке и динамичке инспекције.

Ове апликације такође намерно имају кратак век трајања, често се брзо уклањају након откривања, само да би се поново појавиле са модификованим кодом и новим идентитетима. Истраживачи упозоравају да ће се IconAds вероватно наставити прилагођавати и поново појављивати под различитим облицима.

Калеидоскоп: Успон злих апликација близанаца

У повезаном открићу, стручњаци су разоткрили Калеидоскоп, операцију преваре са огласима која користи оно што истраживачи називају техником „злог близанца“. Овај модел укључује две готово идентичне верзије апликације:

  • Доброћудни „мамац близанац“ који се налази на Google Play продавници.
  • Злонамерни „зли близанац“ који се шири преко продавница апликација трећих страна или фалсификованих веб-сајтова.

Злонамерни пандан генерише лажне приказе огласа користећи огласе преко целог екрана, без икакве интеракције са корисником, користећи исти ИД апликације као мамац како би преварио оглашиваче да плате за лажно ангажовање.

Калеидоскоп је еволуција сличне шеме познате као Конфети, која је првобитно користила CaramelAds SDK. У свом најновијем облику, референце на CaramelAds су уклоњене, а његове основне функције су поново интегрисане у новоименоване SDK-ове као што су Leisure, Raccoon и Adsclub како би се онемогућило праћење и атрибуција.

Глобални досег и комерцијалне везе

Између децембра 2024. и маја 2025. године, Калеидоскоп је утицао на широк спектар Андроид корисника, посебно у Латинској Америци, Турској, Египту и Индији. Ови региони су посебно рањиви због велике распрострањености продавница апликација трећих страна.

Кључне карактеристике калеидоскопа укључују:

  • Транзитивни огласи преко целог екрана се покрећу без корисничког уноса.
  • Лажни прикази огласа усмерени кроз злонамерне верзије апликација.
  • Лажно представљање легитимних ИД-ова апликација ради максимизирања прихода од огласа.

Велики део монетизације Калеидоскопа повезан је са португалском компанијом под називом Сатурн Дајнамик, која тврди да пружа легитимне услуге монетизације огласа. Међутим, чини се да је њена инфраструктура била кључна у омогућавању превара са огласима великих размера путем дистрибуције и монетизације ових обмањујућих апликација.

Завршне мисли: Стално променљиви пејзаж претњи

И IconAds и Kaleidoscope илуструју еволуирајућу природу превара са мобилним огласима. Ове операције бришу границу између легитимног и злонамерног понашања тако што прикривају штетне активности иза иначе бенигних апликација. Како ове претње настављају да мењају тактике, кључно је да продавнице апликација, програмери и корисници остану опрезни, а да стручњаци за сајбер безбедност буду корак испред све избегавнијих механизама преваре.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
35,519
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...