Descoberto vários apps envolvidos em fraude de anúncios

E foram descoberto vários apps envolvidos em fraude de anúncios, sendo alguns para iOS e outros para Android, com milhões de instalações.

Um Adware é qualquer programa de computador que executa automaticamente e exibe uma grande quantidade de anúncios sem a permissão do usuário.

As funções do adware servem para analisar os locais de Internet que o usuário visita e lhe apresentar publicidade pertinente aos tipos de bens ou serviços apresentados lá.

Agora, pesquisadores de segurança descobriram 75 aplicativos no Google Play e outros dez na App Store da Apple envolvidos em fraude de anúncios. Coletivamente, eles somam 13 milhões de instalações.

Descoberto vários apps envolvidos em fraude de anúncios

Descoberto vários apps envolvidos em fraude de anúncios

Além de inundar os usuários de dispositivos móveis com anúncios, tanto visíveis quanto ocultos, os aplicativos fraudulentos também geraram receita ao se passar por aplicativos e impressões legítimas.

Embora esses tipos de aplicativos não sejam vistos como uma ameaça grave, seus operadores podem usá-los para atividades mais perigosas.

Pesquisadores da equipe Satori Threat Intelligence da HUMAN identificaram uma coleção de aplicativos móveis que fazem parte de uma nova campanha de fraude publicitária que eles chamaram de ‘Scylla’.

Os analistas acreditam que Scylla é a terceira onda de uma operação encontrada em agosto de 2019 e apelidada de ‘Poseidon’. A segunda onda, aparentemente do mesmo ator de ameaça, foi chamada de ‘Charybdis’ e culminou no final de 2020.

A equipe Satori informou o Google e a Apple sobre suas descobertas e os aplicativos foram removidos das lojas oficiais do Android e iOS.

Em dispositivos Android, a menos que você tenha a opção de segurança Play Protect desativada, os aplicativos devem ser detectados automaticamente.

Para iOS, a Apple não é clara sobre como remover aplicativos de adware já instalados no dispositivo. A Human está recomendando que os usuários removam os aplicativos fraudulentos se estiverem presentes em seus dispositivos.

Dito isso, uma pequena lista com os mais baixados deles está presente abaixo:

Lista de aplicativos iOS:

  • Loot the Castle – com.loot.rcastle.fight.battle (id1602634568)
  • Run Bridge – com.run.bridge.race (id1584737005)
  • Shinning Gun – com.shinning.gun.ios (id1588037078)
  • Racing Legend 3D – com.racing.legend.like (id1589579456)
  • Rope Runner – com.rope.runner.family (id1614987707)
  • Wood Sculptor – com.wood.sculptor.cutter (id1603211466)
  • Fire-Wall – com.fire.wall.poptit (id1540542924)
  • Ninja Critical Hit – wger.ninjacriticalhit.ios (id1514055403)
  • Tony Runs – com.TonyRuns.game

Lista de aplicativos Android (mais de 1 milhão de downloads)

  • Super Hero-Save the world! – com.asuper.man.playmilk
  • Spot 10 Differences – com.different.ten.spotgames
  • Find 5 Differences – com.find.five.subtle.differences.spot.new
  • Dinosaur Legend – com.huluwagames.dinosaur.legend.play
  • One Line Drawing – com.one.line.drawing.stroke.yuxi
  • Shoot Master – com.shooter.master.bullet.puzzle.huahong
  • Talent Trap – NEW – com.talent.trap.stop.all

A lista completa de aplicativos que fazem parte da onda de fraude de anúncios Scylla está disponível no relatório da HUMAN.

Detalhes do malware

Os aplicativos Scylla normalmente usavam um ID de pacote que não corresponde ao nome da publicação, para fazer parecer aos anunciantes como se os cliques/impressões do anúncio fossem de uma categoria de software mais lucrativa.

Os pesquisadores da HUMAN descobriram que 29 aplicativos Scylla imitavam até 6.000 aplicativos baseados em CTV e alternavam regularmente entre os IDs para evitar a detecção de fraudes.

Descoberto vários apps envolvidos em fraude de anúncios

Resposta C2 com instruções de falsificação de ID (HUMAN)
No Android, os anúncios são carregados em janelas ocultas do WebView, para que a vítima nunca perceba nada suspeito, pois tudo acontece em segundo plano.
Descoberto vários apps envolvidos em fraude de anúncios – Elementos da interface do usuário que identificam a localização das visualizações da Web para anúncios (HUMAN)

Descoberto vários apps envolvidos em fraude de anúncios – Gerando um clique falso no anúncio invisível (HUMAN)

Além disso, o adware usa um sistema “JobScheduler” para acionar eventos de impressão de anúncios quando as vítimas não estão usando ativamente seus dispositivos, por exemplo, quando a tela está desligada.
Descoberto vários apps envolvidos em fraude de anúncios -Código JobScheduler (HUMAN)

Os sinais de fraude são registrados em logs e podem ser vistos nas capturas de pacotes de rede, mas os usuários comuns normalmente não os examinam.
Descoberto vários apps envolvidos em fraude de anúncios – Tráfego de anúncios nos registros de rede (HUMAN)

Em comparação com ‘Poseidon’, a primeira campanha para esta operação, os aplicativos Scylla contam com camadas adicionais de ofuscação de código usando o ofuscador Allatori Java. Isso torna a detecção e a engenharia reversa mais difícil para os pesquisadores.

Os usuários devem monitorar seus aplicativos em busca de aplicativos mal-intencionados ou indesejados procurando alguns sinais que normalmente indicam um problema, como drenagem rápida da bateria e aumento do uso de dados da Internet ou aplicativos que você não se lembra de instalar.

Também é recomendável verificar a lista de aplicativos instalados e remover aqueles que você não se lembra de ter instalado ou vindo de um fornecedor desconhecido.

Deixe um comentário

Sair da versão mobile