حملة ضخمة للغش في الإعلانات المحمولة مخفية في تطبيقات Google Play

اكتشف الباحثون في مجال الأمن السيبراني 352 تطبيقًا خفيًا على أندرويد يعملون كأدوات احتيال إعلانية خفية، والتي أنتجت 1.2 مليار عرض إعلاني وهمي يوميًا قبل أن يتم إيقاف العملية.

تهديد ساتوري من HUMAN نجح فريق الاستخبارات في تعطيل عملية الاحتيال الإعلاني المعقدة المعروفة باسم IconAds.

تضمنت العملية 352 تطبيقًا لـ Android، الذين كانوا يحملون الإعلانات بسرية في حين يخفون أيقوناتهم عن اكتشاف المستخدم. وقد بلغت العملية اليومية لـ IconAds ذروتها بـ 1.2 مليار طلب عرض إعلان، والذي كان ينشأ أساساً من البرازيل والمكسيك والولايات المتحدة.

استخدمت التطبيقات تكتيكات التبهيم المتقدمة لتجنب الكشف. “تقنية التبهيم الأولية لـ IconAds تستخدم كلمات إنجليزية عشوائية لإخفاء بعض القيم”، وفقًا لما أوضحه الباحثون في Satori.

قام المهاجمون أيضًا بتضمين رموز ضارة ضمن المكتبات المشفرة مع استخدام نطاقات الأمر والتحكم المميزة (C2) لكل تطبيق لإخفاء حركة مرورهم.

غير التطبيق “com.works.amazing.colour” أيقونته إلى دائرة بيضاء فارغة وقام بتحميل الإعلانات حتى عندما لا يكون هناك أي تطبيق مفتوح. قام البعض الآخر بانتحال شخصية تطبيقات شعبية مثل Google Play أو Google Home، وهي تعمل بصمت في الخلفية مع تقديم إعلانات مزيفة.

لإخفاء أنشطتهم، قامت هذه التطبيقات بتعطيل المكونات الظاهرة بعد التثبيت واستخدمت أسماء مستعارة بدون اسم أو أيقونة. في بعض الحالات، قاموا بتضمين فحوصات ترخيص للتأكد من أنها تم تحميلها من متجر Play Store، ورفضت العمل وإلا. كما استخدموا خدمات DeepLinking لتحديد متى يتم تنشيط الكود الخبيث.

تمت إزالة التطبيقات المحددة من Google Play، ويوفر Google Play Protect حماية للمستخدمين ضد هذه التهديدات.

وفقًا لـ HUMAN، “العملاء الذين يتعاونون مع HUMAN للدفاع ضد الاحتيال في الإعلانات كانوا ولا يزالون محميين من تأثير IconAds.”

يوضح الهجوم كيف أصبحت عمليات الاحتيال في الإعلانات على الهاتف المحمول أكثر تطوراً، لذا يوصي الخبراء بأن يعزز المعلنون ومطورو الأنظمة الأساسية ومطورو التطبيقات أنظمتهم للرصد، وتحسين الشفافية، والعمل معاً لمنع التهديدات القادمة.