IconAds 廣告欺詐
網路安全研究人員發現並搗毀了一項涉及數百個欺騙性 Android 應用程式的龐大行動廣告詐騙行動。該行動名為 IconAds,利用複雜的規避策略,滲透官方應用商店,並利用毫無戒心的用戶牟取巨額廣告利潤。
目錄
IconAds:一個偽裝的隱形廣告詐欺行動
研究人員最近發現了一個名為 IconAds 的 Android 廣告詐欺網絡,該網絡由 352 個惡意應用程式組成。這些應用程式旨在直接在使用者螢幕上顯示幹擾性、脫離上下文的廣告,同時隱藏在裝置啟動器中,幾乎無法手動移除。幸運的是,谷歌已將這些應用程式從 Play 商店中下架。
IconAds 營運在巔峰時期每天產生多達 12 億個廣告競價請求。流量主要來自巴西、墨西哥和美國,這表明其定位策略廣泛,但以區域為重點。
IconAds 並非全新威脅。它與其他已知威脅(例如 HiddenAds 和 Vapor)具有一些共同特徵,這些威脅至少自 2019 年以來就不斷突破 Play Store 的防禦機制。
欺騙手段和持續行為
IconAds 的核心策略依賴於隱密性和持久性。以下應用:
- 使用混淆技術在網路通訊期間隱藏特定於設備的資訊。
- 對其命令和控制 (C2) 域採用一致的命名模式。
- 用別名取代應用程式的預設 MAIN/LAUNCHER 活動來控制應用程式的外觀和行為方式。
應用安裝後,最初會顯示正常的標籤和圖示。然而,一旦啟動,它就會啟動一個隱藏的活動別名,即使在重新啟動後仍然存在,導致應用程式從主螢幕上消失。這種伎倆使用戶無法輕鬆找到或卸載該應用程式。
最終目標是什麼?投放全螢幕插頁式廣告,無論用戶正在使用哪個合法應用程序,都會對其進行幹擾。
在某些情況下,IconAds 變種會偽裝成 Google Play 商店或其他受信任的 Google 品牌應用程式。這些誘餌應用程式會將使用者重新導向至合法應用,同時在背景悄悄執行詐騙活動。
逃避與進化:移動目標
隨著 IconAds 的發展,新版本現已加入了額外的規避層:
- 如果應用程式被側載,許可證檢查將停用惡意行為(安全分析期間的常用技術)。
- 增強混淆功能,使靜態和動態檢查都變得更加複雜。
這些應用程式的生命週期也刻意縮短,通常在偵測到後很快就會移除,但之後又會以修改後的程式碼和新的身分重新出現。研究人員警告稱,IconAds 可能會繼續調整,並以不同的偽裝重新出現。
萬花筒:邪惡雙胞胎應用的崛起
在一項相關發現中,專家揭露了廣告詐欺機構 Kaleidoscope,該技術採用了研究人員所謂的「邪惡雙胞胎」技術。該模型涉及兩個幾乎完全相同的應用程式版本:
- Google Play Store 上託管的良性「誘餌雙胞胎」。
- 透過第三方應用程式商店或假冒網站傳播的惡意「邪惡雙胞胎」。
惡意對手使用全螢幕廣告產生欺詐性廣告印象,無需任何用戶交互,同時利用與誘餌相同的應用程式 ID 來誘騙廣告商支付虛假參與費用。
Kaleidoscope 是類似方案 Konfety 的演進版本,該方案最初使用 CaramelAds SDK。在最新版本中,對 CaramelAds 的引用已被刪除,其核心功能被重新整合到新命名的 SDK(例如 Leisure、Raccoon 和 Adsclub)中,以阻止追蹤和歸因。
全球影響力和商業聯繫
2024 年 12 月至 2025 年 5 月期間,Kaleidoscope 已影響大批 Android 用戶,尤其是在拉丁美洲、土耳其、埃及和印度。由於第三方應用商店的普及,這些地區尤其容易受到影響。
Kaleidoscope 的主要特點包括:
- 無需使用者輸入即可觸發全螢幕插頁式廣告。
- 透過惡意應用程式版本路由的詐騙廣告瀏覽。
- 冒充合法應用程式 ID 以最大化廣告收入。
Kaleidoscope 的大部分獲利來源可追溯到一家名為 Saturn Dynamic 的葡萄牙公司,該公司聲稱提供合法的廣告獲利服務。然而,其基礎設施似乎透過分發和獲利這些欺騙性應用程序,為大規模廣告詐欺提供了便利。
最後的想法:不斷變化的威脅情勢
IconAds 和 Kaleidoscope 都體現了行動廣告詐欺的不斷演變。這些詐欺行為將有害活動隱藏在原本良性的應用程式背後,模糊了合法行為與惡意行為之間的界線。隨著這些威脅的策略不斷變化,應用程式商店、開發者和使用者都必須保持警惕,網路安全專業人員也必須領先一步,防範日益複雜的詐欺機制。
