有关“大规模广告欺诈行动”的细节已经浮出水面,该行动利用 Google Play 商店中的数百个应用程序来执行一系列邪恶活动。
该活动的代号为
Konfety
(俄语中糖果的意思),因为它滥用了与俄罗斯广告网络CaramelAds相关的移动广告软件开发工具包(SDK)。
“Konfety代表了一种新形式的欺诈和混淆,其中威胁行为者在主要市场上操作’诱饵双胞胎’应用程序的’邪恶双胞胎’版本,”HUMAN的Satori威胁情报团队在与The Hacker News分享的一份技术报告中说。
虽然这些诱饵应用程序的数量超过 250 个,是无害的,并通过 Google Play 商店分发,但它们各自的“邪恶双胞胎”通过恶意广告活动传播,旨在促进广告欺诈、监控网络搜索、安装浏览器扩展程序以及将 APK 文件代码旁加载到用户的设备上。
该活动最不寻常的方面是,邪恶的双胞胎伪装成诱饵双胞胎,欺骗后者的应用程序 ID 和广告发布商 ID 来呈现广告。诱饵和邪恶的双胞胎应用程序都在同一基础架构上运行,允许威胁参与者根据需要呈指数级扩展其操作。
话虽如此,诱饵应用程序不仅表现正常,而且大多数甚至不呈现广告。它们还包含 GDPR 同意通知。
“这种’诱饵/邪恶双胞胎’混淆机制是威胁行为者将欺诈性流量表示为合法的一种新方法,”HUMAN研究人员说。“在巅峰时期,与 Konfety 相关的程序化处理量达到每天 100 亿个请求。”
换句话说,Konfety 利用 SDK 的广告渲染功能来实施广告欺诈,使区分恶意流量和合法流量更具挑战性。
据说 Konfety 邪恶的双胞胎应用程序是通过推广 APK 模组和其他软件(如 Letasoft Sound Booster)的恶意广告活动传播的,诱杀 URL 托管在攻击者控制的域、受感染的 WordPress 网站和其他允许内容上传的平台,包括 Docker Hub、Facebook、Google Sites 和 OpenSea。
最终点击这些 URL 的用户将被重定向到一个域,该域诱骗他们下载恶意的邪恶孪生应用程序,该应用程序反过来充当第一阶段的滴管,该阶段从 APK 文件的资产中解密,用于设置命令和控制 (C2) 通信。
初始阶段程序进一步尝试在设备的主屏幕上隐藏应用程序的图标,并运行第二阶段 DEX 有效负载,当用户在其主屏幕上或使用其他应用程序时,通过提供断章取义的全屏视频广告来执行欺诈。
“Konfety行动的关键在于邪恶的双胞胎应用程序,”研究人员说。“这些应用程序通过从诱饵孪生应用程序复制其应用程序 ID/包名称和发布者 ID 来模仿其相应的诱饵孪生应用程序。”
“从邪恶孪生应用程序派生的网络流量在功能上与从诱饵孪生应用程序派生的网络流量相同;Evil Twins 提供的广告展示在请求中使用了诱饵 Twins 的软件包名称。
该恶意软件的其他功能包括将 CaramelAds SDK 武器化以使用默认 Web 浏览器访问网站,通过发送通知提示用户点击虚假链接来引诱用户,或旁加载其他广告 SDK 的修改版本。
这还不是全部。我们敦促安装 Evil Twins 应用程序的用户在设备主屏幕上添加一个搜索工具栏小部件,该小部件通过将数据发送到名为 vptrackme[.] 的域来暗中监控他们的搜索。com 和 youaresearching[.]com。
研究人员总结说:“威胁行为者明白,在商店中托管恶意应用程序不是一种稳定的技术,并且正在寻找创造性和聪明的方法来逃避检测并实施可持续的长期欺诈。“建立中介 SDK 公司并传播 SDK 以滥用高质量出版商的行为者是一种日益增长的技术。”
