IconAds Ad Fraud

Natuklasan at binuwag ng mga mananaliksik ng cybersecurity ang malawakang operasyon ng pandaraya sa mobile ad na kinasasangkutan ng daan-daang mapanlinlang na mga application ng Android. Tinaguriang IconAds, ginamit ng campaign na ito ang mga sopistikadong taktika sa pag-iwas, nakapasok sa mga opisyal na tindahan ng app, at pinagsamantalahan ang mga hindi mapag-aalinlanganang user para sa malalaking kita sa advertising.

IconAds: Isang Nakatagong Ad Fraud Operation in Disguise

Natuklasan kamakailan ng mga mananaliksik ang isang Android ad fraud network na may label na IconAds, na binubuo ng 352 malisyosong application. Ang mga app na ito ay idinisenyo upang magpakita ng mga mapanghimasok, wala sa konteksto na mga ad nang direkta sa mga screen ng mga user habang itinatago ang kanilang presensya mula sa launcher ng device, na ginagawang halos imposible ang manu-manong pag-alis. Sa kabutihang palad, inalis na ng Google ang mga app na ito mula sa Play Store.

Sa kasagsagan nito, ang pagpapatakbo ng IconAds ay may pananagutan sa pagbuo ng hanggang 1.2 bilyong kahilingan sa ad bid araw-araw. Pangunahing nagmula ang trapiko sa Brazil, Mexico, at United States, na tumuturo sa isang malawak ngunit nakatutok sa rehiyong diskarte sa pag-target.

Ang IconAds ay hindi ganap na bago. Nagbabahagi ito ng mga katangian sa iba pang kilalang banta na sinusubaybayan sa ilalim ng mga pangalan tulad ng HiddenAds at Vapor, na paulit-ulit na lumipas sa mga depensa ng Play Store mula noong 2019 man lang.

Mga Mapanlinlang na Taktika at Patuloy na Pag-uugali

Ang mga pangunahing taktika sa likod ng IconAds ay umaasa sa palihim at pagtitiyaga. Ang mga app na ito:

• Gumamit ng obfuscation upang itago ang impormasyong partikular sa device sa panahon ng mga komunikasyon sa network.
• Gumamit ng pare-parehong mga pattern ng pagpapangalan para sa kanilang mga Command-and-Control (C2) na domain.
• Palitan ang default na aktibidad ng MAIN/LAUNCHER ng app ng isang alias upang kontrolin kung paano lumalabas at kumikilos ang app.

Sa pag-install, ang app sa simula ay nagpapakita ng isang normal na label at icon. Gayunpaman, sa sandaling inilunsad, ito ay nag-a-activate ng isang nakatagong aktibidad-alias na nananatiling paulit-ulit, kahit na pagkatapos ng pag-reboot, na nagiging sanhi ng app na mawala sa home screen. Pinipigilan ng sleight-of-hand na ito ang mga user na madaling mahanap o i-uninstall ang application.

Ang tunay na layunin? Maghatid ng mga full-screen na interstitial ad na nakakagambala sa user anuman ang ginagamit na lehitimong app.

Sa ilang sitwasyon, ang mga variant ng IconAds ay nagpapanggap bilang Google Play Store o iba pang pinagkakatiwalaang app na may brand ng Google. Nire-redirect ng mga decoy app na ito ang mga user sa mga lehitimong app habang tahimik na nagsasagawa ng mapanlinlang na aktibidad sa background.

Pag-iwas at Ebolusyon: Isang Gumagalaw na Target

Habang umuunlad ang IconAds, isinasama na ngayon ng mga bagong pag-ulit ang mga karagdagang layer ng pag-iwas:

• Mga pagsusuri sa lisensya na nagde-deactivate ng malisyosong gawi kung naka-sideload ang app (isang karaniwang pamamaraan sa pagsusuri ng seguridad).
• Pinahusay na obfuscation upang gawing kumplikado ang parehong static at dynamic na inspeksyon.

Ang mga app na ito ay mayroon ding sadyang maiikling habang-buhay, na kadalasang inalis nang mabilis pagkatapos ma-detect, na muling ipakilala nang may binagong code at mga bagong pagkakakilanlan. Nagbabala ang mga mananaliksik na ang IconAds ay malamang na patuloy na mag-aangkop at muling lilitaw sa ilalim ng iba't ibang anyo.

Kaleidoscope: The Rise of Evil Twin Apps

Sa isang nauugnay na pagtuklas, inilantad ng mga eksperto ang Kaleidoscope, isang operasyon ng pandaraya sa ad na gumagamit ng tinatawag ng mga mananaliksik na 'evil twin' na pamamaraan. Kasama sa modelong ito ang dalawang halos magkaparehong bersyon ng isang app:

• Isang benign na 'decoy twin' na naka-host sa Google Play Store.
• Isang malisyosong 'evil twin' na ipinakalat sa pamamagitan ng mga third-party na app store o mga pekeng website.

Ang mapanlinlang na katapat ay bumubuo ng mga mapanlinlang na ad impression gamit ang mga full-screen na ad, nang walang anumang pakikipag-ugnayan ng user, habang ginagamit ang parehong app ID bilang pang-decoy upang linlangin ang mga advertiser na magbayad para sa pekeng pakikipag-ugnayan.

Ang Kaleidoscope ay isang ebolusyon ng isang katulad na pamamaraan na kilala bilang Konfety, na orihinal na ginamit ang CaramelAds SDK. Sa pinakabagong anyo nito, ang mga reference sa CaramelAds ay inalis, at ang mga pangunahing function nito ay muling isinama sa mga bagong pinangalanang SDK tulad ng Leisure, Raccoon, at Adsclub upang hadlangan ang pagsubaybay at pagpapatungkol.

Global Reach at Commercial Ties

Sa pagitan ng Disyembre 2024 at Mayo 2025, naapektuhan ng Kaleidoscope ang malawak na bahagi ng mga user ng Android, partikular sa Latin America, Türkiye, Egypt, at India. Ang mga rehiyong ito ay lalong mahina dahil sa mataas na prevalence ng mga third-party na app store.

Ang mga pangunahing katangian ng Kaleidoscope ay kinabibilangan ng:

• Mga full-screen na interstitial ad na na-trigger nang walang input ng user.
• Ang mga mapanlinlang na view ng ad na idini-ruta sa pamamagitan ng mga nakakahamak na bersyon ng app.
• Pagpapanggap ng mga lehitimong app ID upang i-maximize ang kita sa ad.

Karamihan sa monetization ng Kaleidoscope ay na-trace sa isang Portuguese na kumpanya na pinangalanang Saturn Dynamic, na nagsasabing nagbibigay ng mga lehitimong serbisyo sa monetization ng ad. Gayunpaman, mukhang naging instrumento ang imprastraktura nito sa pagpapagana ng malakihang panloloko sa ad sa pamamagitan ng pamamahagi at pag-monetize ng mga mapanlinlang na app na ito.

Mga Pangwakas na Kaisipan: Isang Palaging Nagbabagong Landscape ng Banta

Parehong inilalarawan ng IconAds at Kaleidoscope ang umuusbong na katangian ng pandaraya sa mobile ad. Ang mga operasyong ito ay nagpapalabo ng linya sa pagitan ng lehitimo at nakakahamak na pag-uugali sa pamamagitan ng pagkukunwari ng mapaminsalang aktibidad sa likod ng mga hindi kanais-nais na app. Habang patuloy na nagbabago ng mga taktika ang mga banta na ito, kritikal para sa mga app store, developer, at user na manatiling mapagbantay at para sa mga propesyonal sa cybersecurity na manatiling isang hakbang sa unahan ng mga lalong umiiwas na mekanismo ng panloloko.