Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara Annonsbedrägerier med IconAds

Annonsbedrägerier med IconAds

Med Mezo år Mobil skadlig programvara, Reklamprogram
Översätt till:

Cybersäkerhetsforskare har avslöjat och avvecklat ett omfattande bedrägeri med mobilannonser som involverar hundratals vilseledande Android-appar. Kampanjen, kallad IconAds, har utnyttjat sofistikerade bedrägeristrategier, infiltrerat officiella appbutiker och utnyttjat intet ont anande användare för massiva annonsvinster.

IconAds: En förklädd annonsbedrägerioperation

Forskare avslöjade nyligen ett nätverk för annonsbedrägerier på Android med namnet IconAds, bestående av 352 skadliga appar. Dessa appar var utformade för att visa påträngande annonser som inte hörde till sitt sammanhang direkt på användarnas skärmar samtidigt som de dolde deras närvaro från enhetens startskärm, vilket gjorde manuell borttagning nästan omöjlig. Lyckligtvis har Google sedan dess tagit bort dessa appar från Play Store.

Som mest genererade IconAds-verksamheten upp till 1,2 miljarder annonsbudförfrågningar dagligen. Trafiken kom främst från Brasilien, Mexiko och USA, vilket tyder på en bred men regionalt fokuserad målgrupp.

IconAds är inte helt nytt. Det delar egenskaper med andra kända hot som spåras under namn som HiddenAds och Vapor, vilka upprepade gånger har smugit sig förbi Play Store-försvar sedan åtminstone 2019.

Bedrägliga taktiker och ihållande beteende

Kärntaktiken bakom IconAds bygger på smygande och uthållighet. Dessa appar:

  • Använd obfuskering för att dölja enhetsspecifik information under nätverkskommunikation.
  • Använd konsekventa namngivningsmönster för sina kommando-och-kontrolldomäner (C2).
  • Ersätt appens standardaktivitet MAIN/LAUNCHER med ett alias för att styra hur appen visas och beter sig.

Vid installationen visar appen initialt en vanlig etikett och ikon. Men när den väl startats aktiverar den ett dolt aktivitetsalias som förblir permanent, även efter omstarter, vilket gör att appen försvinner från startskärmen. Denna knepighet hindrar användare från att enkelt hitta eller avinstallera appen.

Det slutgiltiga målet? Visa mellanliggande annonser i helskärm som stör användaren oavsett vilken legitim app som används.

I vissa fall utger sig IconAds-varianter för att vara Google Play Store eller andra betrodda Google-märkta appar. Dessa lockande appar omdirigerar användare till legitima appar samtidigt som de i tysthet utför bedräglig aktivitet i bakgrunden.

Undvikande och evolution: Ett rörligt mål

I takt med att IconAds har utvecklats innehåller nyare versioner ytterligare lager av undvikande åtgärder:

  • Licenskontroller som inaktiverar skadligt beteende om appen sidladdas (en vanlig teknik vid säkerhetsanalys).
  • Förbättrad obfuskering för att komplicera både statisk och dynamisk inspektion.

Dessa appar har också avsiktligt korta livslängder, ofta borttagna snabbt efter upptäckt, bara för att återintroduceras med modifierad kod och nya identiteter. Forskare varnar för att IconAds sannolikt kommer att fortsätta att anpassa sig och återuppstå under andra skepnader.

Kaleidoscope: De onda tvillingarnas uppgång-appar

I en relaterad upptäckt har experter avslöjat Kaleidoscope, en annonsbedrägerioperation som använder sig av vad forskare kallar den "onda tvilling"-tekniken. Denna modell involverar två nästan identiska versioner av en app:

  • En godartad "lockbetvilling" som finns på Google Play Store.
  • En illvillig "ond tvilling" cirkulerade via tredjepartsappbutiker eller förfalskade webbplatser.

Den illvilliga motsvarigheten genererar bedrägliga annonsvisningar med hjälp av helskärmsannonser, utan någon användarinteraktion, samtidigt som den använder samma app-ID som lockbeteet för att lura annonsörer att betala för falskt engagemang.

Kaleidoscope är en utveckling av ett liknande system känt som Konfety, som ursprungligen använde CaramelAds SDK. I sin senaste form har referenser till CaramelAds tagits bort och dess kärnfunktioner har återintegrerats i nya SDK:er som Leisure, Raccoon och Adsclub för att hindra spårning och attribution.

Global räckvidd och kommersiella band

Mellan december 2024 och maj 2025 påverkade Kaleidoscope en stor grupp Android-användare, särskilt i Latinamerika, Turkiet, Egypten och Indien. Dessa regioner är särskilt sårbara på grund av den höga förekomsten av tredjepartsappbutiker.

Viktiga egenskaper hos Kaleidoscope inkluderar:

  • Mellanannonser i helskärmsläge aktiveras utan användarinmatning.
  • Bedrägliga annonsvisningar dirigeras via skadliga appversioner.
  • Imitering av legitima app-ID:n för att maximera annonsintäkterna.

Mycket av Kaleidoscopes intäktsgenerering har spårats till ett portugisiskt företag vid namn Saturn Dynamic, som påstår sig tillhandahålla legitima tjänster för intäktsgenerering av annonser. Dess infrastruktur verkar dock ha varit avgörande för att möjliggöra storskaliga annonsbedrägerier genom distribution och intäktsgenerering av dessa vilseledande appar.

Sluttankar: Ett ständigt föränderligt hotlandskap

Både IconAds och Kaleidoscope illustrerar den föränderliga karaktären av mobilannonsbedrägerier. Dessa operationer suddar ut gränsen mellan legitimt och skadligt beteende genom att dölja skadlig aktivitet bakom annars ofarliga appar. I takt med att dessa hot fortsätter att förändra taktik är det avgörande för appbutiker, utvecklare och användare att förbli vaksamma och för cybersäkerhetsexperter att ligga steget före de alltmer undvikande bedrägerimekanismerna.

Trendigt

Mest sedda

Läser in...