Специалисты компании Human Security обнаружили мошенническую операцию под кодовым названием Konfety («Конфеты»). Злоумышленники распространяют через Google Play Store и другие платформы приложения-приманки и их вредоносные двойники с рекламным SDK CaramelAds. Всего было обнаружено 250 таких приложений.
Появились подробности «масштабной операции», в ходе которой выяснилось, что в магазине Google Play использовались по меньшей мере 250 приложений для совершения различных вредоносных действий, в том числе для мошенничества с рекламой.
Специалисты назвали эту кампанию Konfety, так как связывают её с российской рекламной сетью CaramelAds. Внутри приложений, принадлежащих этой группировке, присутствует инструмент разработки программного обеспечения (SDK) для мобильной рекламы.
Как сообщается в отчете группы по анализу угроз Satori компании HUMAN, Konfety представляет собой новую форму мошенничества и сокрытия информации, при которой злоумышленники используют «злых двойников» для своих легитимных приложений-приманок, доступных в Google Play и на других маркетплейсах».
Новая тактика: “Безвредный ↔ Вредоносный”
Приложения-приманки, общее число которых превышало 250 штук, были безвредны и распространялись через Google Play Store, тем временем их «злые» двойники распространялись посредством вредоносной рекламной кампании. Мошенники использовали их для мошенничества с рекламой, отслеживания поисковых запросов пользователей, установки расширений в браузерах и загрузки кода APK-файлов на устройства.
Для маскировки вредоносного приложения под приманку злоумышленники использовали спуфинг ID последнего, а также ID издателей (паблишеров) для отображения рекламы. Чтобы обойти блокировку, киберпреступники размещали рекламу не во всех приложениях-приманках, а также включали уведомление о согласии GDPR.
Оба набора приложений — приманка и «злой двойник» — работают на одной и той же инфраструктуре, что позволяло мошенникам масштабировать свои атаки.
Как считают эксперты, такая тактика парного использования безвредного и вредоносного приложения — это новый способ злоумышленников выдавать мошеннический трафик за легитимный. Специалисты добавляют, что на пике объем запросов вредоносной кампании Konfety достигал 10 миллиардов в день.
Иными словами, Konfety использовали возможности SDK по рендерингу рекламных объявлений для совершения мошенничества с рекламой, тщательно скрывая и усложняя обнаружение вредоносного трафика.
Как происходило мошенничество с рекламой
— Способ распространения. Согласно отчету, приложения-близнецы распространялись через вредоносную рекламную кампанию, которая рекламировала моды APK и другие программы, например Letasoft Sound Booster (приложение для увеличения громкости). Каждое такое рекламное объявление содержало URL-адреса, которые вели на контролируемые злоумышленниками домены, взломанные сайты WordPress и любые другие платформы, на которых можно загрузить и скачать контент, среди которых Docker Hub, Facebook* (принадлежит Meta, которая запрещена на территории РФ), Google Sites и OpenSea.
— Первый этап. Пользователи, которые перешли по вредоносной рекламе, перенаправлялись на домены, где их обманом вынуждали скачивать вредоносные приложения. После установки вредонос связывался с C2-сервером, таким образом устройство жертвы переходило под контроль злоумышленников.
— Второй этап. Далее с главного экрана устройства пользователя предпринималась попытка скрыть значок приложения и запустить полезную нагрузку DEX, цель которой заключалась в совершении дальнейших мошеннических действий, например показе внеконтекстной полноэкранной видеореклы, когда пользователь находится на главном экране или использует другое приложение.
По словам экспертов, сетевой трафик, исходящий от вредоносных приложений-двойников, функционально идентичен сетевому трафику, исходящему от приложений-приманок. Показы рекламы, отображаемые вредоносными приложениями, использовали в запросе имя пакета легитимных приложений-приманок.
Что еще известно о вредоносной кампании Konfety
Помимо мошенничества с рекламой вредоносный CaramelAds SDK принудительно открывал различные сайты в браузере и отправлял уведомления, тем самым обманом вынуждая пользователей нажимать на мошеннические ссылки.
Но и это еще не все. Пользователям, устанавливающим вредоносные приложения, настоятельно рекомендовалось добавить на главный экран устройства поисковую строку, через которую мошенники тайно отслеживали поисковые запросы. В дальнейшем они отправляли эти данные на домены vptrackme[.]com и youaresearching[.]com.
В заключение
Несмотря на все фильтры, проверки и инструменты отслеживания мошеннических операций, злоумышленники всё равно продолжают находить и разрабатывать новые методы и тактики для совершения мошенничества с рекламой и других вредоносных действий.
Для снижения рисков, связанных как с кампанией Konfety, так и другими мошенническими операциями, пользователям рекомендуется загружать приложения только из легальных магазинов приложений, а также проявлять осторожность при переходе по подозрительным ссылкам.
Чтобы защитить свою рекламу от мошеннических кликов и фальшивых показов нецелевым пользователям и ботам, подключите систему киберзащиты Botfaqtor. Попробуйте 7 дней бесплатно >>>
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
