Gian lận quảng cáo IconAds

Các nhà nghiên cứu an ninh mạng đã phát hiện và phá vỡ một hoạt động gian lận quảng cáo di động rộng lớn liên quan đến hàng trăm ứng dụng Android lừa đảo. Được gọi là IconAds, chiến dịch này đã tận dụng các chiến thuật trốn tránh tinh vi, xâm nhập vào các cửa hàng ứng dụng chính thức và khai thác người dùng không nghi ngờ để kiếm lợi nhuận quảng cáo khổng lồ.

IconAds: Một hoạt động gian lận quảng cáo trá hình

Các nhà nghiên cứu gần đây đã phát hiện ra một mạng lưới gian lận quảng cáo Android có tên là IconAds, bao gồm 352 ứng dụng độc hại. Các ứng dụng này được thiết kế để hiển thị quảng cáo xâm phạm, không theo ngữ cảnh trực tiếp trên màn hình của người dùng trong khi ẩn sự hiện diện của chúng khỏi trình khởi chạy thiết bị, khiến việc xóa thủ công gần như không thể. May mắn thay, Google đã xóa các ứng dụng này khỏi Cửa hàng Play.

Vào thời kỳ đỉnh cao, hoạt động của IconAds chịu trách nhiệm tạo ra tới 1,2 tỷ yêu cầu đấu thầu quảng cáo mỗi ngày. Lưu lượng truy cập chủ yếu đến từ Brazil, Mexico và Hoa Kỳ, cho thấy cách tiếp cận nhắm mục tiêu rộng nhưng tập trung vào khu vực.

IconAds không hoàn toàn mới. Nó có chung đặc điểm với các mối đe dọa đã biết khác được theo dõi dưới tên như HiddenAds và Vapor, đã liên tục vượt qua các biện pháp phòng thủ của Play Store kể từ ít nhất năm 2019.

Chiến thuật lừa đảo và hành vi dai dẳng

Chiến thuật cốt lõi đằng sau IconAds dựa vào tính ẩn và tính bền bỉ. Các ứng dụng này:

• Sử dụng tính năng che giấu để ẩn thông tin cụ thể của thiết bị trong quá trình truyền thông mạng.
• Sử dụng các mẫu đặt tên nhất quán cho miền Chỉ huy và Kiểm soát (C2) của họ.
• Thay thế hoạt động MAIN/LAUNCHER mặc định của ứng dụng bằng một bí danh để kiểm soát cách ứng dụng hiển thị và hoạt động.

Khi cài đặt, ứng dụng ban đầu hiển thị nhãn và biểu tượng bình thường. Tuy nhiên, sau khi khởi chạy, nó kích hoạt một hoạt động ẩn bí danh vẫn tồn tại, ngay cả sau khi khởi động lại, khiến ứng dụng biến mất khỏi màn hình chính. Thủ thuật này ngăn người dùng dễ dàng định vị hoặc gỡ cài đặt ứng dụng.

Mục tiêu cuối cùng? Hiển thị quảng cáo xen kẽ toàn màn hình làm gián đoạn người dùng bất kể họ đang sử dụng ứng dụng hợp pháp nào.

Trong một số trường hợp, các biến thể IconAds ngụy trang thành Google Play Store hoặc các ứng dụng đáng tin cậy khác mang thương hiệu Google. Các ứng dụng mồi nhử này chuyển hướng người dùng đến các ứng dụng hợp pháp trong khi âm thầm thực hiện hoạt động gian lận ở chế độ nền.

Trốn tránh và Tiến hóa: Một Mục tiêu Di động

Khi IconAds phát triển, các phiên bản mới hơn hiện tích hợp thêm nhiều lớp né tránh:

• Kiểm tra giấy phép để vô hiệu hóa hành vi độc hại nếu ứng dụng được tải từ bên ngoài (một kỹ thuật phổ biến trong quá trình phân tích bảo mật).
• Cải tiến khả năng che giấu để làm phức tạp cả quá trình kiểm tra tĩnh và động.

Những ứng dụng này cũng có tuổi thọ ngắn cố ý, thường bị xóa nhanh chóng sau khi phát hiện, chỉ để được đưa trở lại với mã đã sửa đổi và danh tính mới. Các nhà nghiên cứu cảnh báo rằng IconAds có khả năng sẽ tiếp tục thích nghi và tái xuất hiện dưới nhiều hình thức khác nhau.

Kaleidoscope: Sự trỗi dậy của các ứng dụng Evil Twin

Trong một khám phá liên quan, các chuyên gia đã vạch trần Kaleidoscope, một hoạt động gian lận quảng cáo sử dụng kỹ thuật mà các nhà nghiên cứu gọi là 'song sinh độc ác'. Mô hình này bao gồm hai phiên bản ứng dụng gần như giống hệt nhau:

• Một 'bản sao giả' vô hại được lưu trữ trên Cửa hàng Google Play.
• Một 'kẻ song sinh độc ác' lưu hành thông qua các cửa hàng ứng dụng của bên thứ ba hoặc các trang web giả mạo.

Kẻ xấu tạo ra các lượt hiển thị quảng cáo gian lận bằng cách sử dụng quảng cáo toàn màn hình, không cần bất kỳ tương tác nào của người dùng, đồng thời lợi dụng cùng một ID ứng dụng làm mồi nhử để lừa các nhà quảng cáo trả tiền cho sự tương tác giả mạo.

Kaleidoscope là sự phát triển của một chương trình tương tự được gọi là Konfety, ban đầu sử dụng CaramelAds SDK. Ở dạng mới nhất, các tham chiếu đến CaramelAds đã bị xóa bỏ và các chức năng cốt lõi của nó được tích hợp lại vào các SDK mới được đặt tên như Leisure, Raccoon và Adsclub để cản trở việc theo dõi và ghi nhận.

Tầm với toàn cầu và quan hệ thương mại

Từ tháng 12 năm 2024 đến tháng 5 năm 2025, Kaleidoscope đã tác động đến một lượng lớn người dùng Android, đặc biệt là ở Châu Mỹ Latinh, Thổ Nhĩ Kỳ, Ai Cập và Ấn Độ. Những khu vực này đặc biệt dễ bị tổn thương do sự phổ biến của các cửa hàng ứng dụng của bên thứ ba.

Các đặc điểm chính của Kaleidoscope bao gồm:

• Quảng cáo xen kẽ toàn màn hình được kích hoạt mà không cần người dùng nhập dữ liệu.
• Lượt xem quảng cáo gian lận được chuyển hướng qua các phiên bản ứng dụng độc hại.
• Mạo danh ID ứng dụng hợp pháp để tối đa hóa doanh thu quảng cáo.

Phần lớn hoạt động kiếm tiền của Kaleidoscope được truy tìm đến một công ty Bồ Đào Nha có tên là Saturn Dynamic, công ty này tuyên bố cung cấp dịch vụ kiếm tiền từ quảng cáo hợp pháp. Tuy nhiên, cơ sở hạ tầng của công ty này dường như đóng vai trò quan trọng trong việc tạo điều kiện cho gian lận quảng cáo quy mô lớn thông qua việc phân phối và kiếm tiền từ các ứng dụng lừa đảo này.

Suy nghĩ cuối cùng: Một bối cảnh đe dọa liên tục thay đổi

Cả IconAds và Kaleidoscope đều minh họa bản chất đang phát triển của gian lận quảng cáo trên thiết bị di động. Các hoạt động này làm mờ ranh giới giữa hành vi hợp pháp và hành vi độc hại bằng cách che giấu hoạt động có hại đằng sau các ứng dụng vô hại. Khi các mối đe dọa này tiếp tục thay đổi chiến thuật, điều quan trọng là các cửa hàng ứng dụng, nhà phát triển và người dùng phải luôn cảnh giác và các chuyên gia an ninh mạng phải luôn đi trước một bước so với các cơ chế gian lận ngày càng khó nắm bắt.