Istraživači iz kompanije HUMAN Security otkrili su masovnu prevaru sa oglasima koja koristi stotine aplikacija u Google Play prodavnici kao mamce.
Kampanja, nazvana Konfety (na ruskom kонфеты bombona), zloupotrebljava paket za razvoj softvera za mobilno oglašavanje (SDK) povezan sa ruskom oglasnom mrežom CaramelAds.
Iako su mamci aplikacije (njih preko 250) bezopasne i distribuiraju se preko Google Play prodavnice, njihovi „zli blizanci“, koji se distribuiraju preko oglasa, dizajnirani su da olakšaju prevaru sa oglasima, nadgledaju veb pretrage, instaliraju ekstenzije pregledača i učitavaju APK fajlove na uređaje korisnika.
Obe vrste aplikacija koriste istu infrastrukturu, omogućavajući prevarantima da eksponencijalno šire svoje operacije prema potrebi.
Mamci aplikacije se ponašaju normalno, većina njih čak i ne prikazuje reklame, a mnoge imaju obaveštenje o usklađenosti sa GDPR-om.
Ovaj mehanizam „mamac/zli blizanac“ predstavlja novi način da prevaranti predstave lažni saobraćaj kao legitiman.
Blizanačke aplikacije se šire kroz kampanju koja promoviše APK modove i druge softvere kao što je Letasoft Sound Booster, sa URL-ovima koji se nalaze na domenima pod kontrolom napadača, kompromitovanim WordPress sajtovima i drugim platformama kao što su Docker Hub, Facebook, Google Sites i OpenSea.
Korisnici koji kliknu na ove URL-ove bivaju preusmereni na domen na kojem će biti prevareni da preuzmu zlonamernu blizanačku aplikaciju, koja funkcioniše kao dropper i koristi se za uspostavljanje komunikacije sa serverom.
Ikona aplikacije se uklanja sa početnog ekrana uređaja, a pokreće se malver druge faze napada koji prikazuje video reklame preko celog ekrana van konteksta, kada je korisnik na početnom ekranu ili koristi drugu aplikaciju.
„Suština operacije Konfety leži u zlim aplikacijama blizancima“, rekli su istraživači. „Ove aplikacije oponašaju odgovarajuće aplikacije mamce kopiranjem njihovih ID-ova aplikacija/imena paketa i ID-ova izdavača.“
„Mrežni saobraćaj izveden iz aplikacija koje su zli blizanci je funkcionalno identičan mrežnom saobraćaju izvedenom iz aplikacija mamaca; prikazi oglasa koje prikazuju zli blizanci koriste naziv paketa aplikacija mamaca u zahtevu.“
Ove aplikacije su odgovorne i za posete veb sajtovima preko podrazumevanog veb pregledača, slanje obaveštenja koja korisnike podstiču da kliknu na linkove, ili bočno učitavanje modifikovanih verzija drugih oglasnih SDK-ova.
Korisnici se podstiču da dodaju vidžet sa alatkama za pretragu na početni ekran uređaja, koji potajno nadgleda njihove pretrage, piše It mixer.
Istraživači kažu da prevaranti očigledno „pronalaze kreativne i pametne načine da izbegnu otkrivanje i počine održivu dugoročnu prevaru“.
S druge strane, Google kaže da prati različite varijacije blizanačkih aplikacija i preduzima korake da zaštiti korisnike od ove pretnje. Prema Google-u, korisnici su više od godinu dana zaštićeni od ovakvih aplikacija pomoću Google Play Protecta, koji je podrazumevano uključen na Android uređajima sa Google Play Services, upozorava korisnike i onemogućava aplikacije za koje je ustanovljeno da su aplikacije „zli blizanci“.
