Шахрайство з рекламою IconAds
Дослідники з кібербезпеки виявили та ліквідували масштабну шахрайську операцію з мобільної реклами, в якій брали участь сотні оманливих додатків для Android. Ця кампанія, що отримала назву IconAds, використовувала складні тактики ухилення, проникала в офіційні магазини додатків та експлуатувала нічого не підозрюючих користувачів для отримання величезного прибутку від реклами.
Зміст
IconAds: прихована операція з рекламного шахрайства під прикриттям
Нещодавно дослідники виявили мережу шахрайства з рекламою на Android під назвою IconAds, яка складається з 352 шкідливих програм. Ці програми були розроблені для відображення нав'язливої, позаконтекстної реклами безпосередньо на екранах користувачів, приховуючи свою присутність від панелі запуску пристрою, що робило видалення вручну практично неможливим. На щастя, Google з того часу видалив ці програми з Play Store.
На піку своєї діяльності IconAds щодня генерувала до 1,2 мільярда запитів на рекламні ставки. Трафік переважно надходив з Бразилії, Мексики та Сполучених Штатів, що вказує на широкий, але регіонально зосереджений підхід до таргетування.
IconAds не є зовсім новим. Він має спільні характеристики з іншими відомими загрозами, що відстежуються під такими назвами, як HiddenAds та Vapor, які неодноразово прослизали повз захист Play Store щонайменше з 2019 року.
Оманлива тактика та постійна поведінка
Основна тактика IconAds базується на прихованості та наполегливості. Ці програми:
- Використовуйте обфускацію, щоб приховати інформацію про пристрій під час мережевого зв'язку.
- Використовувати узгоджені шаблони іменування для своїх доменів командування та управління (C2).
- Замініть дію MAIN/LAUNCHER програми за замовчуванням псевдонімом, щоб контролювати, як програма виглядає та як вона поводиться.
Після встановлення програма спочатку відображає звичайну мітку та значок. Однак після запуску вона активує прихований псевдонім дії, який залишається постійним навіть після перезавантаження, через що програма зникає з головного екрана. Ця хитрість не дозволяє користувачам легко знайти або видалити програму.
Кінцева мета? Показувати повноекранну міжсторінкову рекламу, яка заважатиме користувачеві незалежно від того, який легітимний додаток використовується.
У деяких випадках варіанти IconAds маскуються під Google Play Store або інші надійні додатки від Google. Ці додатки-приманки перенаправляють користувачів на легітимні додатки, непомітно виконуючи шахрайську діяльність у фоновому режимі.
Ухилення та еволюція: рухома ціль
З розвитком IconAds, новіші версії тепер включають додаткові рівні ухилення:
- Перевірки ліцензій, які деактивують шкідливу поведінку, якщо додаток завантажено неналежним чином (поширений метод під час аналізу безпеки).
- Покращене обфускація для ускладнення як статичної, так і динамічної перевірки.
Ці додатки також навмисно мають короткий термін служби, часто швидко видаляються після виявлення, а потім знову з'являються зі зміненим кодом та новими ідентифікаторами. Дослідники попереджають, що IconAds, ймовірно, продовжуватимуть адаптуватися та знову з'являтися під різними обличчями.
Калейдоскоп: Піднесення злих додатків-близнюків
У пов’язаному з цим відкритті експерти викрили Kaleidoscope, операцію з рекламного шахрайства, яка використовує те, що дослідники називають методом «злого близнюка». Ця модель включає дві майже ідентичні версії програми:
- Доброякісний «близнюк-приманка», розміщений у магазині Google Play.
- Зловмисний «злий двійник», що поширюється через сторонні магазини додатків або підроблені веб-сайти.
Зловмисний аналог генерує шахрайські покази оголошень, використовуючи повноекранну рекламу без будь-якої взаємодії з користувачем, використовуючи той самий ідентифікатор програми, що й приманка, щоб обманом змусити рекламодавців платити за фальшиву взаємодію.
Kaleidoscope — це еволюція подібної схеми, відомої як Konfety, яка спочатку використовувала CaramelAds SDK. У своїй останній версії посилання на CaramelAds були видалені, а його основні функції повторно інтегровані в новоназвані SDK, такі як Leisure, Raccoon та Adsclub, щоб перешкодити відстеженню та атрибуції.
Глобальний охоплення та комерційні зв’язки
Між груднем 2024 року та травнем 2025 року Kaleidoscope вплинув на широке коло користувачів Android, зокрема в Латинській Америці, Туреччині, Єгипті та Індії. Ці регіони особливо вразливі через високу поширеність сторонніх магазинів додатків.
Основні характеристики Калейдоскопа включають:
- Повноекранні міжсторінкові оголошення запускаються без втручання користувача.
- Перегляди шахрайської реклами, що перенаправляються через шкідливі версії програм.
- Видавання себе за законні ідентифікатори додатків для максимізації доходу від реклами.
Значна частина монетизації Kaleidoscope пов'язана з португальською компанією Saturn Dynamic, яка стверджує, що надає легальні послуги монетизації реклами. Однак, схоже, її інфраструктура відіграла важливу роль у створенні можливостей для масштабного шахрайства з рекламою шляхом розповсюдження та монетизації цих оманливих додатків.
Заключні думки: Постійно мінливий ландшафт загроз
Як IconAds, так і Kaleidoscope ілюструють еволюцію шахрайства з мобільною рекламою. Ці операції розмивають межу між законною та зловмисною поведінкою, маскуючи шкідливу активність за інакше безпечними додатками. Оскільки ці загрози продовжують змінювати тактику, магазинам додатків, розробникам і користувачам вкрай важливо залишатися пильними, а фахівцям з кібербезпеки – бути на крок попереду дедалі хитріших механізмів шахрайства.
