IconAds 广告欺诈
网络安全研究人员发现并捣毁了一项涉及数百个欺骗性 Android 应用程序的庞大移动广告欺诈行动。该行动名为 IconAds,利用复杂的规避策略,渗透官方应用商店,并利用毫无戒心的用户牟取巨额广告利润。
目录
IconAds:一个伪装的隐形广告欺诈行动
研究人员最近发现了一个名为 IconAds 的 Android 广告欺诈网络,该网络由 352 个恶意应用程序组成。这些应用程序旨在直接在用户屏幕上显示干扰性、脱离上下文的广告,同时隐藏在设备启动器中,几乎无法手动移除。幸运的是,谷歌已将这些应用程序从 Play 商店中下架。
IconAds 运营在巅峰时期每天产生多达 12 亿个广告竞价请求。流量主要来自巴西、墨西哥和美国,这表明其定位策略广泛,但以区域为重点。
IconAds 并非全新威胁。它与其他已知威胁(例如 HiddenAds 和 Vapor)具有一些共同特征,这些威胁至少自 2019 年以来就不断突破 Play Store 的防御机制。
欺骗手段和持续行为
IconAds 的核心策略依赖于隐秘性和持久性。以下应用:
- 使用混淆技术在网络通信期间隐藏特定于设备的信息。
- 对其命令和控制 (C2) 域采用一致的命名模式。
- 用别名替换应用程序的默认 MAIN/LAUNCHER 活动来控制应用程序的外观和行为方式。
该应用安装后,最初会显示正常的标签和图标。然而,一旦启动,它就会激活一个隐藏的活动别名,该别名即使在重启后仍然存在,导致应用从主屏幕上消失。这种伎俩使用户无法轻松找到或卸载该应用。
最终目标是什么?投放全屏插页式广告,无论用户正在使用哪个合法应用程序,都会对其进行干扰。
在某些情况下,IconAds 变种会伪装成 Google Play 商店或其他受信任的 Google 品牌应用。这些诱饵应用会将用户重定向到合法应用,同时在后台悄悄执行欺诈活动。
逃避与进化:移动目标
随着 IconAds 的发展,新版本现已加入了额外的规避层:
- 如果应用程序被侧载,许可证检查将停用恶意行为(安全分析期间的常用技术)。
- 增强混淆功能,使静态和动态检查都变得更加复杂。
这些应用程序的生命周期也刻意缩短,通常在检测到后很快被移除,但之后又会以修改后的代码和新的身份重新出现。研究人员警告称,IconAds 可能会继续调整,并以不同的伪装重新出现。
万花筒:邪恶双胞胎应用的崛起
在一项相关发现中,专家揭露了广告欺诈机构 Kaleidoscope,该机构采用了研究人员所谓的“邪恶双胞胎”技术。该模型涉及两个几乎完全相同的应用程序版本:
- Google Play Store 上托管的良性“诱饵双胞胎”。
- 通过第三方应用商店或假冒网站传播的恶意“邪恶双胞胎”。
恶意对手使用全屏广告产生欺诈性广告印象,无需任何用户交互,同时利用与诱饵相同的应用程序 ID 来诱骗广告商支付虚假参与费用。
Kaleidoscope 是类似方案 Konfety 的演变版本,该方案最初使用 CaramelAds SDK。在最新版本中,对 CaramelAds 的引用已被删除,其核心功能被重新集成到新命名的 SDK(例如 Leisure、Raccoon 和 Adsclub)中,以阻止追踪和归因。
全球影响力和商业联系
2024 年 12 月至 2025 年 5 月期间,Kaleidoscope 已影响到大批 Android 用户,尤其是在拉丁美洲、土耳其、埃及和印度。由于第三方应用商店的普及,这些地区尤其容易受到影响。
Kaleidoscope 的主要特点包括:
- 无需用户输入即可触发全屏插页式广告。
- 通过恶意应用程序版本路由的欺诈性广告浏览。
- 冒充合法应用程序 ID 以最大化广告收入。
Kaleidoscope 的大部分盈利来源可追溯到一家名为 Saturn Dynamic 的葡萄牙公司,该公司声称提供合法的广告盈利服务。然而,其基础设施似乎通过分发和盈利这些欺骗性应用程序,为大规模广告欺诈提供了便利。
最后的想法:不断变化的威胁形势
IconAds 和 Kaleidoscope 都体现了移动广告欺诈的不断演变。这些欺诈行为将有害活动隐藏在原本良性的应用程序背后,模糊了合法行为与恶意行为之间的界限。随着这些威胁的策略不断变化,应用商店、开发者和用户都必须保持警惕,网络安全专业人员也必须领先一步,防范日益复杂的欺诈机制。
