352 приложения для Android были заражены рекламной малварью IconAds - «Новости»
- 14:30, 08-июл-2025
- Изображения / Преимущества стилей / Новости / Добавления стилей / Вёрстка / Линии и рамки / Заработок
- Bennett
- 0
Специалисты Human Security обнаружили кампанию, связанную с рекламным мошенничеством, которая получила название IconAds. Исследователи выявили в магазине Google Play 352 вредоносных приложений.
По словам экспертов, такие приложения отображали на экране навязчивую внеконтекстную рекламу и скрывали свои иконки с главного экрана устройства, что затрудняло их удаление.
На пике своей активности эта мошенническая схема генерировала более 1,2 млрд рекламных запросов в сутки. Подавляющее большинство трафика, связанного с IconAds, поступало из Бразилии, Мексики и США.
В настоящее время все зараженные IconAds приложения уже удалены специалистами Google из официального магазина для Android.
IconAds — это одна из разновидностей угрозы, которая также отслеживается и под другими названиями, включая HiddenAds и Vapor. Такие вредоносные приложения неоднократно проникали в Google Play Store, начиная как минимум с 2019 года.
Исследователи пишут, что такие приложения объединяет ряд общих характеристик: использование обфускации для сокрытия информации об устройстве при сетевом взаимодействии, шаблон именования C&C-доменов, а также возможность подменить стандартную активность MAIN/LAUNCHER, указывая алиас.
«Это означает, что при установке приложения отображается стандартное название ярлыка и значок, но как только приложение запускается, активируется объявленный в манифесте алиас, который сохраняется даже после повторного запуска приложения или перезагрузки устройства», — объясняют в компании.
Кроме того, было замечено, что некоторые варианты приложений IconAds выдавали себя за Google Play Store (или использовали другие иконки и названия приложений, связанных с Google). При запуске такого приложения жертву перенаправляли в официальное приложение, а вредоносная активность продолжалась в фоновом режиме.
Также в этой кампании был обнаружен ряд других нововведений: теперь малварь проверяет лицензию, чтобы определить, было ли приложение установлено из Play Store. Если это не так, вредоносная активность прекращается, чтобы избежать обнаружения во время анализа. Кроме того, были добавлены дополнительные уровни обфускации, чтобы противостоять динамическому анализу.
«Многие приложения, связанные с IconAds, существуют недолго, после чего их удаляют из Play Store, — говорят исследователи. — Учитывая несколько этапов эволюции этой угрозы, мы ожидаем, что она продолжит адаптироваться: будут публиковаться новые приложения и добавляться новые методы обфускации».
Комментарии (0)