İnsan’ın Satori tehdit istihbaratı ve araştırma ekibi, Google Play Store’a 352 kötü amaçlı uygulamayla sızan Iconads adlı genişleyen bir reklam sahtekarlığı operasyonunu ortadan kaldırdı.
Zirvede, bu şema günlük olarak 1.2 milyar teklif talebi oluşturdu, kullanıcıların ekranlarını bağlam dışı reklamlarla sular altında tutarken, uygulama simgelerini gizlemek ve kökenlerini gizlemek için kurnaz taktikler kullandı.
Bu, şüphesiz kullanıcıların rahatsız edici uygulamaları tespit etmesini ve kaldırmasını neredeyse imkansız hale getirir.
Sofistike bir küresel tehdidi ortaya çıkarmak
2023’ten beri izlenen bir tehdidin evrimi olan operasyon, Brezilya, Meksika ve Amerika Birleşik Devletleri’nden gelen önemli trafikle küresel erişimi sergiledi.
Google, o zamandan beri tanımlanmış tüm uygulamaları platformundan kaldırdı ve kullanıcılar Google Play Cihazlardaki kötü amaçlı davranışları Google Play hizmetleriyle otomatik olarak engelleyen Google Play Protect tarafından korunuyor.
Teknik inceliklere giren Satori araştırmacıları, Iconads’ın tespitten kaçınmak ve cihazlarda devam etmek için sofistike yöntemlerini ortaya çıkardılar.
Uygulamalar, ağ iletişimi sırasında cihaz modeli ve işletim sistemi sürümü gibi kritik verileri maskelemek için rastgele İngilizce kelimeler kullanmak ve O-MVLL gizlenmiş bir yerel kütüphane tarafından şifrelenen bayt diziler yoluyla dizeleri şifrelemek gibi katmanlı gizleme taktikleri kullanır.
Teknik aldatmacalar
Her uygulama için benzersiz komut ve kontrol (C2) etki alanları, genellikle tutarlı ancak genel bir sözdizimini takip ederek, altyapıyı daha da gizlerken, belirli CNAMES ile paylaşılan arka uç çözünürlüğü merkezi kontrolde ipucu verir.
Özellikle aldatıcı bir taktik, varsayılan uygulama simgesini ve etiketini, bazen Google Play Store gibi meşru uygulamaları taklit eden şeffaf veya yanıltıcı görsellerle geçersiz kılan kötü amaçlı bir etkinlik-Alias’ı içerir.
Etkin olduktan sonra, bu uygulamalar ön plan uygulamasına bakılmaksızın müdahaleci interstisyel reklamları yükler ve hileli gelir için kullanıcı etkileşimini kullanır.
İkonadların evrimi, Ekim 2023’te tanımlanan daha yeni varyantlar, StringFog, Multibyte Xor kodlaması ve şifreli DEX dosyalarının varlıklardan dinamik yüklenmesi gibi gelişmiş gizlemeyi tanıtmaktadır.
Bazı uygulamalar sahtekarlık mantığını kötü niyetli ELF kütüphanelerine bile yerleştirirken, diğerleri kullanıcıları daha da aldatmak için Google ile ilgili simgeler ve isimlerle gizlenir.
Dikkate değer bir adaptasyon, uygulamanın Play Store’dan yüklenip yüklenmediğini doğrulamak için pairip kütüphanesini kullanan bir lisans kontrolü içerir ve analiz sırasında algılamayı önlemek için yan yüklenirse kötü niyetli etkinlik durdurur.
Buna ek olarak, ICONADS uygulamaları, dinamik test kaçakçılığına hesaplanmış bir yaklaşım sergileyerek, kötü amaçlı akışları seçici olarak tetiklemek için üçüncü taraf derinlemesine hizmet hizmetlerinden yararlanır.
Play Store’da kısa raf yaşamlarına rağmen, bu uygulamalar kalıcı bir tehdidi temsil ediyor ve Satori araştırmacıları daha fazla uyarlamalar ve yeni gizleme teknikleri öngörüyor.
Rapora göre, Human’ın reklam sahtekarlığı savunma platformu müşterilerini Iconads’ın etkisinden başarıyla korudu ve ekip ortaya çıkan varyantlar için tehdit manzarasını izlemeye devam ediyor.
Ekosistem paydaşları için öneriler, şüpheli uygulamalardan kaçınmak ve güncellenmiş tehdit istihbaratını kullanarak C2 altyapısının gerçek zamanlı izlenmesini önlemek için talep yan platformlarına (DSP’ler) katı envanter veterinerleme içerir.
Tedarik tarafı platformları (SSP), olağandışı trafik modelleri için anomali tespitini artırmaya ve uygulama meta verilerinde şeffaflığı uygulamak istenir.
Iconads mobil reklam sahtekarlığının artan sofistike olmasını örneklediğinden, sektör genelinde proaktif işbirliği dijital reklam bütünlüğünü ve kullanıcı güvenini korumak için çok önemlidir.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt