Исследователи из группы Satori Threat Intelligence and Research Team компании HUMAN сообщили о раскрытии масштабной мошеннической операции, получившей условное обозначение IconAds. В ходе расследования специалисты выявили 352 приложения для Android, которые распространяли вредоносный рекламный трафик и применяли скрытные методы для затруднения их удаления с устройств жертв.
По информации, изложенной в отчёте HUMAN, приложения из набора IconAds генерировали внеконтекстную рекламу, отображая рекламные вставки поверх любых активных окон, независимо от действий пользователя. Одновременно с этим происходило скрытие иконок приложений с главного экрана. Для достижения такого эффекта использовалась система псевдонимов активности, объявленная в манифесте, позволяющая подменять стандартную точку запуска после первого запуска приложения. Это обеспечивало устойчивость вредоносного кода и его невидимость для пользователя даже после перезагрузки устройства.
На пике активности схема обрабатывала до 1,2 млрд запросов на показ рекламы в сутки. Основной трафик зафиксирован в Бразилии, Мексике и США. Приложения маскировались под сервисы Google или использовали поддельные ярлыки, перенаправлявшие пользователя в официальное приложение, в то время как вредоносные процессы продолжали функционировать в фоновом режиме. Некоторые экземпляры также проверяли, была ли установка произведена через Google Play, и добавляли уровни обфускации, чтобы избежать обнаружения во время динамического анализа.
Операция IconAds рассматривается как очередная разновидность угроз HiddenAds и Vapor, известных по схожим атакам, зафиксированным в Play Store с 2019 года. Приложения использовали заданные шаблоны именования для управления трафиком и скрывали параметры устройства при установлении сетевых соединений.
Все выявленные программы были удалены из Google Play Store. Однако аналитики подчёркивают, что подобные схемы продолжают эволюционировать и представляют серьёзную угрозу конфиденциальности и цифровой безопасности пользователей мобильных устройств.
Оригинал публикации на сайте CISOCLUB: "Обнаружена крупная схема Android-мошенничества с рекламой, подменой иконок и вредоносным ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.