IconAds การฉ้อโกงโฆษณา
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบและทำลายปฏิบัติการฉ้อโกงโฆษณาบนมือถือที่แพร่หลายซึ่งเกี่ยวข้องกับแอปพลิเคชัน Android ที่หลอกลวงหลายร้อยรายการ แคมเปญนี้ซึ่งมีชื่อว่า IconAds ได้ใช้กลวิธีหลบเลี่ยงที่ซับซ้อน แทรกซึมเข้าไปในร้านแอปอย่างเป็นทางการ และใช้ประโยชน์จากผู้ใช้ที่ไม่สงสัยเพื่อแสวงหากำไรจากการโฆษณาจำนวนมหาศาล
สารบัญ
IconAds: ปฏิบัติการฉ้อโกงโฆษณาที่แอบแฝงอยู่
นักวิจัยได้ค้นพบเครือข่ายหลอกลวงโฆษณาบนระบบปฏิบัติการ Android ที่มีชื่อว่า IconAds ซึ่งประกอบด้วยแอปพลิเคชันอันตราย 352 รายการ แอปพลิเคชันเหล่านี้ได้รับการออกแบบมาให้แสดงโฆษณาที่รบกวนผู้ใช้โดยตรงบนหน้าจอของผู้ใช้ในขณะที่ซ่อนไม่ให้ผู้ใช้เห็นตัวเรียกใช้งานอุปกรณ์ ทำให้แทบจะเป็นไปไม่ได้เลยที่จะลบออกด้วยตนเอง โชคดีที่ Google ได้ลบแอปพลิเคชันเหล่านี้ออกจาก Play Store แล้ว
ในช่วงที่รุ่งเรืองที่สุด การดำเนินงานของ IconAds รับผิดชอบในการสร้างคำขอประมูลโฆษณามากถึง 1.2 พันล้านรายการต่อวัน ปริมาณการเข้าชมส่วนใหญ่มาจากบราซิล เม็กซิโก และสหรัฐอเมริกา ซึ่งชี้ให้เห็นถึงแนวทางการกำหนดเป้าหมายที่กว้างแต่เน้นในระดับภูมิภาค
IconAds ไม่ใช่เรื่องใหม่โดยสิ้นเชิง โดยมีลักษณะที่คล้ายคลึงกันกับภัยคุกคามอื่นๆ ที่รู้จักภายใต้ชื่อเช่น HiddenAds และ Vapor ซึ่งแอบแอบผ่านการป้องกันของ Play Store มาตั้งแต่ปี 2019 เป็นอย่างน้อย
กลวิธีหลอกลวงและพฤติกรรมที่คงอยู่
กลยุทธ์หลักเบื้องหลัง IconAds อาศัยการแอบซ่อนและความพากเพียร แอปเหล่านี้:
- ใช้การบดบังเพื่อซ่อนข้อมูลเฉพาะอุปกรณ์ในระหว่างการสื่อสารเครือข่าย
- ใช้รูปแบบการตั้งชื่อที่สอดคล้องกันสำหรับโดเมนคำสั่งและการควบคุม (C2)
- แทนที่กิจกรรม MAIN/LAUNCHER เริ่มต้นของแอปด้วยนามแฝงเพื่อควบคุมลักษณะการแสดงผลและการทำงานของแอป
เมื่อติดตั้งแล้ว แอปจะแสดงป้ายกำกับและไอคอนตามปกติในตอนแรก อย่างไรก็ตาม เมื่อเปิดใช้งานแล้ว แอปจะเปิดใช้งานนามแฝงกิจกรรมที่ซ่อนอยู่ ซึ่งจะยังคงอยู่แม้หลังจากรีบูตเครื่อง ส่งผลให้แอปหายไปจากหน้าจอหลัก กลอุบายนี้ทำให้ผู้ใช้ไม่สามารถค้นหาหรือถอนการติดตั้งแอปได้อย่างง่ายดาย
เป้าหมายสูงสุดคืออะไร? แสดงโฆษณาแบบแทรกเต็มหน้าจอที่รบกวนผู้ใช้ไม่ว่าจะใช้แอปที่ถูกต้องตามกฎหมายแอปใดก็ตาม
ในบางกรณี IconAds เวอร์ชันต่างๆ จะปลอมตัวเป็น Google Play Store หรือแอปแบรนด์ Google ที่เชื่อถือได้อื่นๆ แอปหลอกลวงเหล่านี้จะนำผู้ใช้ไปยังแอปที่ถูกกฎหมายในขณะที่ดำเนินกิจกรรมฉ้อโกงอย่างเงียบๆ ในเบื้องหลัง
การหลบเลี่ยงและวิวัฒนาการ: เป้าหมายที่เคลื่อนไหว
เนื่องจาก IconAds ได้รับการพัฒนาขึ้น เวอร์ชันใหม่จึงมีการเพิ่มเลเยอร์การหลีกเลี่ยงเพิ่มเติม:
- การตรวจสอบใบอนุญาตที่ปิดการใช้งานพฤติกรรมที่เป็นอันตรายหากมีการโหลดแอปจากแหล่งอื่น (เทคนิคทั่วไปในระหว่างการวิเคราะห์ความปลอดภัย)
- ปรับปรุงการบดบังเพื่อทำให้การตรวจสอบทั้งแบบคงที่และแบบไดนามิกมีความซับซ้อนมากขึ้น
แอปเหล่านี้มีอายุการใช้งานสั้นโดยตั้งใจ โดยมักจะถูกลบออกอย่างรวดเร็วหลังจากตรวจพบ จากนั้นจึงนำกลับมาใช้ใหม่ด้วยโค้ดที่ปรับเปลี่ยนและตัวตนใหม่ นักวิจัยเตือนว่า IconAds น่าจะปรับตัวและกลับมาปรากฏตัวอีกครั้งภายใต้รูปลักษณ์ที่แตกต่างออกไป
Kaleidoscope: การเพิ่มขึ้นของแอพ Evil Twin
จากการค้นพบที่เกี่ยวข้อง ผู้เชี่ยวชาญได้เปิดโปง Kaleidoscope ซึ่งเป็นปฏิบัติการฉ้อโกงโฆษณาที่ใช้สิ่งที่นักวิจัยเรียกว่าเทคนิค "ฝาแฝดชั่วร้าย" รูปแบบนี้เกี่ยวข้องกับแอปเวอร์ชันที่แทบจะเหมือนกันทุกประการสองเวอร์ชัน:
- 'ฝาแฝดล่อลวง' ที่ไม่เป็นอันตรายซึ่งโฮสต์อยู่บน Google Play Store
- ‘ฝาแฝดชั่วร้าย’ ที่มีการแพร่กระจายผ่านทางแอปสโตร์ของบุคคลที่สามหรือเว็บไซต์ปลอม
คู่หูอันชั่วร้ายสร้างการแสดงผลโฆษณาปลอมโดยใช้โฆษณาแบบเต็มหน้าจอโดยที่ผู้ใช้ไม่ได้โต้ตอบใดๆ และใช้ ID แอปเดียวกันกับตัวล่อเพื่อหลอกให้ผู้โฆษณาจ่ายเงินสำหรับการมีส่วนร่วมปลอม
Kaleidoscope เป็นวิวัฒนาการของรูปแบบที่คล้ายคลึงกันซึ่งรู้จักกันในชื่อ Konfety ซึ่งเดิมใช้ CaramelAds SDK ในรูปแบบล่าสุด การอ้างอิงถึง CaramelAds ถูกตัดออก และฟังก์ชันหลักถูกผสานกลับเข้าไปใน SDK ที่มีชื่อใหม่ เช่น Leisure, Raccoon และ Adsclub เพื่อขัดขวางการติดตามและการระบุแหล่งที่มา
การเข้าถึงระดับโลกและความสัมพันธ์ทางการค้า
ระหว่างเดือนธันวาคม 2024 ถึงเดือนพฤษภาคม 2025 Kaleidoscope ส่งผลกระทบต่อผู้ใช้ Android จำนวนมาก โดยเฉพาะในละตินอเมริกา ตุรกี อียิปต์ และอินเดีย ภูมิภาคเหล่านี้มีความเสี่ยงเป็นพิเศษเนื่องจากมีร้านค้าแอปของบุคคลที่สามจำนวนมาก
ลักษณะเด่นของ Kaleidoscope ได้แก่:
- โฆษณาคั่นแบบเต็มหน้าจอที่ทำงานโดยไม่ต้องมีการป้อนข้อมูลจากผู้ใช้
- การดูโฆษณาฉ้อโกงถูกส่งผ่านเวอร์ชันแอปที่เป็นอันตราย
- การปลอมแปลง ID แอปที่ถูกกฎหมายเพื่อเพิ่มรายได้จากโฆษณาให้สูงสุด
แหล่งสร้างรายได้ของ Kaleidoscope ส่วนใหญ่มาจากบริษัทโปรตุเกสชื่อ Saturn Dynamic ซึ่งอ้างว่าให้บริการสร้างรายได้จากโฆษณาอย่างถูกกฎหมาย อย่างไรก็ตาม โครงสร้างพื้นฐานของบริษัทดูเหมือนจะมีบทบาทสำคัญในการเปิดโอกาสให้เกิดการฉ้อโกงโฆษณาในวงกว้างผ่านการเผยแพร่และสร้างรายได้จากแอปหลอกลวงเหล่านี้
ความคิดสุดท้าย: ภูมิทัศน์ของภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา
ทั้ง IconAds และ Kaleidoscope แสดงให้เห็นถึงธรรมชาติที่เปลี่ยนแปลงไปของการฉ้อโกงโฆษณาบนมือถือ การดำเนินการเหล่านี้ทำให้เส้นแบ่งระหว่างพฤติกรรมที่ถูกต้องตามกฎหมายและเป็นอันตรายเลือนลางลง โดยปกปิดกิจกรรมที่เป็นอันตรายไว้เบื้องหลังแอปที่ไม่เป็นอันตราย เนื่องจากภัยคุกคามเหล่านี้ยังคงเปลี่ยนวิธีการอยู่เรื่อยๆ จึงเป็นสิ่งสำคัญที่ทั้งร้านแอป ผู้พัฒนา และผู้ใช้จะต้องเฝ้าระวัง และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จะต้องก้าวล้ำหน้ากลไกการฉ้อโกงที่หลบเลี่ยงได้มากขึ้น
