Команда экспертов из Human Security обнаружила новую мошенническую схему под названием IconAds, нацеленную на пользователей Android. Злоумышленники разместили в Google Play 352 мобильных приложения, зараженных вредоносной программой, предназначенной для мошенничества с рекламой.
Цель вредоносной кампании — создание мобильного ботнета для мошенничества с рекламой
Эксперты выяснили, что приложения показывают на устройствах жертв рекламу вне обычного контейнера — так называемая внеконтекстная реклама, которая отображается во всплывающих окнах или на весь экран.
В 2020 году Google запретил показ внеконтекстной рекламы для приложений в своем маркетплейсе и удалил более 240 продуктов, которые нарушали данную политику.
Вредоносная сеть могла генерировать до 1,2 млрд запросов на повышение ставок на рекламных аукционах ежедневно.
Методы маскировки
Чтобы скрыть вредоносную активность, злоумышленники заменяли значок и надпись приложения по умолчанию прозрачными или вводящими в заблуждение визуальными эффектами. Некоторые из них могли мимикрировать под легитимные приложения и выдавать себя в том числе за Google Play Store.
Для маскировки передачи данных злоумышленники использовали многоуровневую тактику обфускации. Например, заменяли ключевую информацию, такую как модель устройства и версия операционной системы, на случайные английские слова.
Также выяснилось, что приложения, содержащие IconAds, использовали сторонние связанные сервисы для выборочного запуска вредоносных потоков. Это говорит о том, что мошенники тщательно продумали методы маскировки от динамического анализа для снижения рисков обнаружения.
Среди других уловок — проверка лицензии, которая позволяет определить, было ли приложение установлено из Google Play Store, и остановка вредоносной активности, если приложение было загружено в стороннем режиме.
Что еще известно об IconAds
Мошенническая кампания известна киберзащитным организациям с 2019 года под другими названиями — HiddenAds и Vapor и характеризуется глобальным охватом. Значительный объем трафика, согласно данным экспертов, поступает из Бразилии, Мексики и США.
На текущий момент данные вредоносные приложения удалены из Google Play Store, включая их автоматическое удаление на пользовательских устройствах.
Другие похожие мобильные Android-ботнеты
Ранее экспертами кибербезопасности IAS Threat Lab была обнаружена другая мошенническая кампания под названием Kaleidoscope. Там злоумышленники использовали тактику «злой близнец»: легальные приложения они размещали в Google Play Store, а их зараженные вредоносным рекламным ПО аналоги — на сторонних сайтах и в пиратских каталогах.
Kaleidoscope, в свою очередь, — это эволюция схемы Konfety (CaramelAds SDK), аналогичной схемы мошенничества с рекламой. О ней мы также рассказывали ранее в нашем блоге.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
