Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Mobil Kötü Amaçlı Yazılım IconAds Reklam Sahtekarlığı

IconAds Reklam Sahtekarlığı

Mezo'de Mobil Kötü Amaçlı Yazılım, Reklam yazılımı'de
Çevir:

Siber güvenlik araştırmacıları, yüzlerce aldatıcı Android uygulamasını içeren yaygın bir mobil reklam dolandırıcılığı operasyonunu ortaya çıkardı ve ortadan kaldırdı. IconAds olarak adlandırılan bu kampanya, karmaşık kaçınma taktiklerinden yararlandı, resmi uygulama mağazalarına sızdı ve büyük reklam karları için şüphesiz kullanıcıları sömürdü.

IconAds: Kılık Değiştirmiş Gizli Bir Reklam Dolandırıcılığı Operasyonu

Araştırmacılar yakın zamanda IconAds olarak adlandırılan ve 352 kötü amaçlı uygulamadan oluşan bir Android reklam dolandırıcılığı ağını ortaya çıkardı. Bu uygulamalar, cihaz başlatıcısından varlıklarını gizlerken doğrudan kullanıcıların ekranlarında müdahaleci, bağlam dışı reklamlar görüntülemek için tasarlanmıştı ve bu da manuel kaldırmayı neredeyse imkansız hale getiriyordu. Neyse ki Google, o zamandan beri bu uygulamaları Play Store'dan kaldırdı.

Zirvesindeyken, IconAds operasyonu günlük 1,2 milyara kadar reklam teklifi isteği üretmekten sorumluydu. Trafik öncelikle Brezilya, Meksika ve Amerika Birleşik Devletleri'nden geliyordu ve bu da geniş ancak bölgesel odaklı bir hedefleme yaklaşımına işaret ediyordu.

IconAds tamamen yeni değil. HiddenAds ve Vapor gibi isimler altında takip edilen ve en az 2019'dan beri Play Store savunmalarını defalarca aşan diğer bilinen tehditlerle aynı özellikleri paylaşıyor.

Aldatıcı Taktikler ve Kalıcı Davranışlar

IconAds'in ardındaki temel taktikler gizliliğe ve ısrarcılığa dayanır. Bu uygulamalar:

  • Ağ iletişimleri sırasında cihaza özgü bilgileri gizlemek için karartma kullanın.
  • Komuta ve Kontrol (C2) etki alanları için tutarlı adlandırma kalıpları kullanın.
  • Uygulamanın varsayılan MAIN/LAUNCHER etkinliğini, uygulamanın nasıl göründüğünü ve davrandığını kontrol eden bir takma adla değiştirin.

Kurulum sırasında uygulama başlangıçta normal bir etiket ve simge görüntüler. Ancak, başlatıldığında, yeniden başlatmalardan sonra bile kalıcı olan gizli bir etkinlik takma adını etkinleştirir ve uygulamanın ana ekrandan kaybolmasına neden olur. Bu el çabukluğu kullanıcıların uygulamayı kolayca bulmasını veya kaldırmasını engeller.

Nihai hedef? Hangi meşru uygulamanın kullanıldığına bakılmaksızın, kullanıcıyı rahatsız eden tam ekran ara reklamlar sunmak.

Bazı durumlarda, IconAds varyantları Google Play Store veya diğer güvenilir Google markalı uygulamalar gibi görünür. Bu sahte uygulamalar kullanıcıları meşru uygulamalara yönlendirirken arka planda sessizce sahtekarlık faaliyetleri yürütür.

Kaçış ve Evrim: Hareketli Bir Hedef

IconAds geliştikçe, daha yeni yinelemeler artık ek kaçınma katmanları içeriyor:

  • Uygulamanın yan yüklenmesi durumunda kötü amaçlı davranışları devre dışı bırakan lisans kontrolleri (güvenlik analizi sırasında yaygın bir teknik).
  • Hem statik hem de dinamik incelemeyi karmaşıklaştırmak için geliştirilmiş karartma.

Bu uygulamalar ayrıca kasıtlı olarak kısa ömürlüdür, tespit edildikten hemen sonra kaldırılır ve daha sonra değiştirilmiş kod ve yeni kimliklerle yeniden tanıtılır. Araştırmacılar, IconAds'in muhtemelen farklı kılıklar altında adapte olmaya ve yeniden ortaya çıkmaya devam edeceği konusunda uyarıyor.

Kaleidoscope: Kötülüğün Yükselişi Twin Uygulamaları

İlgili bir keşifte uzmanlar, araştırmacıların 'şeytan ikiz' tekniği olarak adlandırdığı bir reklam dolandırıcılığı operasyonu olan Kaleidoscope'u ifşa ettiler. Bu model, bir uygulamanın neredeyse aynı olan iki versiyonunu içerir:

  • Google Play Store'da barındırılan iyi huylu bir 'sahte ikiz'.
  • Üçüncü taraf uygulama mağazaları veya sahte web siteleri aracılığıyla yayılan kötü niyetli bir 'şeytani ikiz'.

Kötü niyetli muadili, herhangi bir kullanıcı etkileşimi olmadan tam ekran reklamlar kullanarak sahte reklam gösterimleri oluştururken, reklamverenleri sahte etkileşim için ödeme yapmaya kandırmak için yem olarak aynı uygulama kimliğini kullanıyor.

Kaleidoscope, başlangıçta CaramelAds SDK'sını kullanan Konfety olarak bilinen benzer bir şemanın evrimidir. Son biçiminde, CaramelAds'e yapılan referanslar kaldırıldı ve temel işlevleri, izleme ve atıfı engellemek için Leisure, Raccoon ve Adsclub gibi yeni adlandırılmış SDK'lara yeniden entegre edildi.

Küresel Erişim ve Ticari Bağlar

Aralık 2024 ile Mayıs 2025 arasında Kaleidoscope, özellikle Latin Amerika, Türkiye, Mısır ve Hindistan'da olmak üzere geniş bir Android kullanıcı kitlesini etkiledi. Bu bölgeler, üçüncü taraf uygulama mağazalarının yüksek yaygınlığı nedeniyle özellikle savunmasızdır.

Kaleidoscope'un temel özellikleri şunlardır:

  • Kullanıcı girişi olmadan tetiklenen tam ekran ara reklamlar.
  • Kötü amaçlı uygulama sürümleri aracılığıyla yönlendirilen sahte reklam görüntülemeleri.
  • Reklam gelirini en üst düzeye çıkarmak için meşru uygulama kimliklerinin taklit edilmesi.

Kaleidoscope'un para kazanma işlemlerinin çoğu, meşru reklam para kazanma hizmetleri sağladığını iddia eden Saturn Dynamic adlı bir Portekiz şirketine dayanıyor. Ancak, altyapısının bu aldatıcı uygulamaların dağıtımı ve para kazanması yoluyla büyük ölçekli reklam dolandırıcılığının sağlanmasında etkili olduğu anlaşılıyor.

Son Düşünceler: Sürekli Değişen Bir Tehdit Manzarası

Hem IconAds hem de Kaleidoscope, mobil reklam dolandırıcılığının evrimleşen doğasını göstermektedir. Bu işlemler, zararlı faaliyetleri aksi takdirde iyi huylu uygulamaların arkasına gizleyerek meşru ve kötü niyetli davranış arasındaki çizgiyi bulanıklaştırır. Bu tehditler taktik değiştirmeye devam ederken, uygulama mağazalarının, geliştiricilerin ve kullanıcıların uyanık kalması ve siber güvenlik uzmanlarının giderek daha kaçamak dolandırıcılık mekanizmalarının bir adım önünde olması kritik öneme sahiptir.

trend

En çok görüntülenen

Yükleniyor...