“Iconads” adlı sofistike bir mobil reklam sahtekarlığı operasyonu, Google Play Store aracılığıyla dağıtılan 352 kötü amaçlı uygulama ile dünya çapında Android cihazlara sızdı ve her gün zirveye kadar günlük 1,2 milyar hileli teklif talebi üretti.
Program, mobil reklamcılık sahtekarında önemli bir evrimi temsil ediyor ve müdahaleci bağlam dışı reklamlar sergilerken kullanıcılardan kötü niyetli uygulamaları gizlemek için gelişmiş gizleme teknikleri kullanıyor.
Operasyon, Brezilya (%16.35), Meksika (%14.33) ve Amerika Birleşik Devletleri’nden (%9.5) kaynaklanan en yüksek hileli trafik konsantrasyonlarına sahip kullanıcıları küresel olarak etkiledi.
Geleneksel reklam yazılımından farklı olarak, Iconads uygulamaları, görünür simgelerini şeffaf dikdörtgenler ve boş etiketlerle değiştirerek varlıklarını kasten gizler, bu da kullanıcıların rahatsız edici uygulamaları cihazlarından tanımlamasını ve kaldırmasını neredeyse imkansız hale getirir.
.webp)
İnsan güvenliği analistleri, operasyonu 2023’ten beri izledikleri bir tehdidin genişlemesi olarak tanımladılar ve Ekim 2023’te ortaya çıkan önemli taktik uyarlamalara dikkat çekti.
Araştırmacılar, ikonadların mobil reklam sahtekarında yeni bir sofistike seviyeyi temsil ettiğini ve birden fazla gizleme katmanını yenilikçi kalıcılık mekanizmalarıyla birleştirdiğini keşfettiler.
Kötü amaçlı yazılımın en ayırt edici özelliği, meşru uygulama simgelerini görünmez yer tutucularla değiştirmek için Android’in etkinlik-Alias işlevselliğini kullanan simge saklama mekanizmasında yatmaktadır.
Bu teknik, uygulamada kötü niyetli bir etkinlik-kanat ilan edilmesini içerir. Kurulumdan sonra varsayılan başlatıcı etkinliğini geçersiz kılan tezahür eder.
Gelişmiş kalıcılık ve şaşkınlık taktikleri
Iconads operasyonu, Android’in etrafında merkezli sofistike bir kalıcılık mekanizması kullanıyor. setComponentEnabledSetting uygulamaların görünür bileşenlerini dinamik olarak değiştirmesine izin veren yöntem.
Kurulum üzerine, kötü amaçlı uygulamalar başlangıçta şüphe önlemek için meşru simgeler ve adlar gösterir. Ancak, başlatıldıktan sonra, orijinal başlatıcı etkinliğini devre dışı bırakırken gizli bir etkinlik-Alias sağlayan kod yürütürler.
Teknik uygulama, boş bir android: etiket özniteliği ve şeffaf bir çizilebilir kaynak ile bir etkinlik-Alias oluşturmayı içerir.
Bu yaklaşım, cihaz yeniden başlatıldıktan sonra bile, kötü amaçlı uygulamanın müdahaleci reklamları göstermeye devam ederken gizli kalmasını sağlar.
.webp)
Bazı varyantlar, Play Store simgesinin değiştirilmiş sürümlerini ve “Google Home” markalaşmasını meşru sistem bileşenleri olarak görünmek için Google’ın kendi uygulamalarını taklit ederek aldatmayı daha da ileri götürür.
Operasyonun komut ve kontrol altyapısı, tutarlı bir modelin ardından benzersiz alanlardan iletişim kurarak, her kötü amaçlı uygulama ile dikkate değer bir sofistike olduğunu göstermektedir.
Bu alanlar, ağ iletişimi sırasında cihaz bilgilerini gizlemek için görünüşte rastgele İngilizce kelimeler kullanır, bu da algılama ve analizi güvenlik araştırmacıları için önemli ölçüde daha zor hale getirir.
Google o zamandan beri Play Store’dan tanımlanan tüm ICONADS uygulamalarını kaldırdı ve Google Play Protected olan kullanıcılar bu tehditlere karşı otomatik koruma elde ediyor.
Keşif, mobil reklam sahtekarlığının devam eden evrimini ve App Store güvenlik önlemlerinde sürekli uyanıklık ihtiyacını vurgulamaktadır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi