HUMAN’ın Satori Tehdit İstihbaratı ekibinden araştırmacılar, Ağustos 2019’da bildirilen ‘Poseidon’ adlı saldırının üçüncü dalgası olan ‘Scylla’ adlı yeni bir reklam yazılımı operasyonu buldular. Gerçekten de aynı tehdit aktöründen gelen ikinci dalga, ‘Charybdis’ olarak adlandırıldı ve 2020’nin sonlarında ortaya çıktı.
Raporlar, Scylla operasyonuyla ilgili Uygulamaların 13 milyondan fazla kez indirildiğini söylüyor. Uzmanlar, reklam sahtekarlığıyla uğraşan 75’ten fazla Android uygulaması ve 10’dan fazla iOS uygulaması belirledi.
Scylla’nın Çalışması
Satori ekibi, Scylla uygulamalarının birincil dolandırıcılık mekanizması olarak bir paket kimliği sahtekarlığı kullandığını buldu.
HUMAN’ın Satori Tehdit İstihbaratı ekibi, “Örneğin, PARETO araştırmamız, reklamverenler için genellikle ortalama mobil oyundan daha yüksek fiyatlar sunan 6.000’den fazla CTV tabanlı uygulama gibi görünen 29 Android uygulamasını ortaya çıkardı” diyor.
Scylla işlemindeki uygulamalarda, bir uzak komut ve kontrol (C2) sunucusu tarafından hangi paket kimliğinin kullanılacağı talimatı verilir. Bu nedenle, uygulamaya dinamik olarak koda hangi paket kimliğini ekleyeceğini söyler.
Ayrıca, reklamlar gizli WebView pencerelerine yüklenir, böylece kurban hiçbir zaman şüpheli bir şey fark edemez, çünkü her şey arka planda gerçekleşir.
Araştırmacılar, sahte tıklamaların dolandırıcılar için pek çok avantajı olduğunu açıklıyor: bir görüntüleme modeline göre faturalandırılan reklam ağları için, tıklamalar etkili olduğunu gösteriyor ve bu da reklamverenlerin sadık kalmalarını sağlıyor. Ancak diğer bazı reklam ağları, tıklama başına faturalandırılır ve bu da dolandırıcıyı, ödeme almak için tıklamaları taklit etmeye teşvik eder.
Reklam yazılımı ayrıca, kurbanlar cihazlarını aktif olarak kullanmadığında reklam gösterim olaylarını tetiklemek için bir “JobScheduler” sistemi kullanır. Araştırmacılar, Scylla uygulamalarının Allatori Java obfuscator kullanarak ek kod gizleme katmanlarına güvendiğini söylüyor. Bu, tespit ve tersine mühendisliği araştırmacılar için daha zor hale getirir.
Bu nedenle Human, kullanıcıların cihazlarında varsa hileli uygulamaları kaldırmalarını tavsiye ediyor.
iOS Uygulama Listesi:
- Kaleyi yağmala – com.loot.rcastle.fight.battle (id1602634568)
- Köprüyü Çalıştır – com.run.bridge.race (id1584737005)
- Shinning Gun – com.shinning.gun.ios (id1588037078)
- Yarış Efsanesi 3D – com.racing.legend.like (id1589579456)
- İp Koşucusu – com.rope.runner.family (id1614987707)
- Ahşap Heykeltıraş – com.wood.sculptor.cutter (id1603211466)
- Güvenlik Duvarı – com.fire.wall.poptit (id1540542924)
- Ninja Kritik Vuruş – wger.ninjacriticalhit.ios (id1514055403)
- Tony Runs – com.TonyRuns.game
Android Uygulama Listesi (1+ milyon indirme)
- Süper Kahraman-Dünyayı kurtarın! – com.asuper.man.playmilk
- 10 Farkı Bulun – com. Different.ten.spotgames
- 5 Fark Bul – com.find.five.subtle.differences.spot.new
- Dinozor Efsanesi – com.huluwagames.dinosaur.legend.play
- Tek Çizgi Çizme – com.one.line.drawing.stroke.yuxi
- Vur Ustası – com.shooter.master.bullet.puzzle.huahong
- Yetenek Tuzağı – YENİ – com.talent.trap.stop.all
Scylla reklam dolandırıcılığı dalgasının uygulama bölümünün tam listesi HUMAN’ın raporunda mevcuttur.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap