Google Play Store’daki yüzlerce uygulamayı kullanarak çok sayıda kötü niyetli faaliyet gerçekleştiren “büyük çaplı bir reklam dolandırıcılığı operasyonu”nun ayrıntıları ortaya çıktı.
Kampanyanın kod adı: Konfeti – Şekerleme anlamına gelen Rusça kelime – Rusya merkezli CaramelAds adlı bir reklam ağıyla ilişkili bir mobil reklam yazılım geliştirme kitinin (SDK) kötüye kullanılması nedeniyle.
HUMAN’ın Satori Tehdit İstihbarat Ekibi, The Hacker News ile paylaştığı teknik raporda, “Konfety, tehdit aktörlerinin büyük pazar yerlerinde bulunan ‘sahte ikiz’ uygulamalarının ‘kötü ikiz’ versiyonlarını çalıştırdığı yeni bir dolandırıcılık ve karartma biçimini temsil ediyor” dedi.
Sayıları 250’yi aşan sahte uygulamalar zararsız olup Google Play Store üzerinden dağıtılırken, bunların “kötü ikizleri” reklam dolandırıcılığını kolaylaştırmak, web aramalarını izlemek, tarayıcı uzantıları yüklemek ve APK dosya kodlarını kullanıcıların cihazlarına yan yüklemek için tasarlanmış bir kötü amaçlı reklam kampanyası yoluyla yayılıyor.
Kampanyanın en sıra dışı yönü, kötü ikizin sahte ikiz gibi davranarak ikincisinin uygulama kimliğini ve reklam yayıncısı kimliklerini reklamları sunmak için taklit etmesidir. Hem sahte hem de kötü ikiz uygulama setleri aynı altyapıda çalışır ve tehdit aktörlerinin operasyonlarını gerektiği gibi katlanarak ölçeklendirmelerine olanak tanır.
Bununla birlikte, aldatmaca uygulamaları normal şekilde davranmakla kalmıyor, birçoğu reklam bile göstermiyor. Ayrıca bir GDPR onay bildirimi de içeriyorlar.
“Bu ‘aldatmaca/kötü ikiz’ karartma mekanizması, tehdit aktörlerinin hileli trafiği meşru olarak göstermeleri için yeni bir yoldur,” dedi HUMAN araştırmacıları. “En üst noktasında, Konfety ile ilgili programatik hacim günde 10 milyar isteğe ulaştı.”
Başka bir deyişle, Konfety, kötü amaçlı trafiği meşru trafikten ayırt etmeyi çok daha zor hale getirerek reklam dolandırıcılığı yapmak için SDK’nın reklam oluşturma yeteneklerinden yararlanıyor.
Konfety’nin kötü ikiz uygulamalarının, APK modlarını ve Letasoft Sound Booster gibi diğer yazılımları tanıtan bir kötü amaçlı reklam kampanyası yoluyla yayıldığı, tuzaklı URL’lerin saldırganların kontrolündeki alan adlarında, güvenliği ihlal edilmiş WordPress sitelerinde ve Docker Hub, Facebook, Google Sites ve OpenSea gibi içerik yüklemelerine izin veren diğer platformlarda barındırıldığı söyleniyor.
Bu URL’lere tıklayan kullanıcılar, onları kötü niyetli ikiz uygulamayı indirmeye kandıran bir etki alanına yönlendiriliyor; bu da APK dosyasının varlıklarından şifresi çözülen ve komut ve kontrol (C2) iletişimlerini kurmak için kullanılan ilk aşama için bir damlalık görevi görüyor.
İlk aşamadaki saldırgan, uygulamanın simgesini cihazın ana ekranından gizlemeye çalışır ve kullanıcı ana ekranındayken veya başka bir uygulama kullanırken bağlam dışı, tam ekran video reklamları sunarak dolandırıcılık yapan ikinci aşamada bir DEX yükü çalıştırır.
Araştırmacılar, “Konfety operasyonunun özü kötü ikiz uygulamalarda yatıyor,” dedi. “Bu uygulamalar, uygulama kimliklerini/paket adlarını ve yayıncı kimliklerini sahte ikiz uygulamalardan kopyalayarak karşılık gelen sahte ikiz uygulamalarını taklit ediyor.”
“Kötü ikiz uygulamalarından elde edilen ağ trafiği, işlevsel olarak sahte ikiz uygulamalarından elde edilen ağ trafiğiyle aynıdır; kötü ikizler tarafından oluşturulan reklam gösterimleri, istekteki sahte ikizlerin paket adını kullanır.”
Kötü amaçlı yazılımın diğer yetenekleri arasında CaramelAds SDK’sini varsayılan web tarayıcısını kullanarak web sitelerini ziyaret etmek, kullanıcıları sahte bağlantılara tıklamaya yönlendiren bildirimler göndererek kandırmak veya diğer reklam SDK’lerinin değiştirilmiş sürümlerini yan yüklemek yer alıyor.
Hepsi bu kadar değil. Evil Twins uygulamalarını yükleyen kullanıcılar, cihaz ana ekranına, verileri vptrackme adlı etki alanlarına göndererek gizlice aramalarını izleyen bir arama araç çubuğu widget’ı eklemeye teşvik ediliyor.[.]com ve sizaraştırıyorsunuz[.]com.
Araştırmacılar, “Tehdit aktörleri mağazalarda kötü amaçlı uygulamalar barındırmanın istikrarlı bir teknik olmadığını anlıyor ve tespit edilmekten kaçınmak ve sürdürülebilir uzun vadeli dolandırıcılık yapmak için yaratıcı ve akıllı yollar buluyorlar,” sonucuna vardı. “Aktörlerin arabuluculuk SDK şirketleri kurması ve SDK’yı yüksek kaliteli yayıncıları suistimal etmek için yayması büyüyen bir tekniktir.”