Una sofisticada operación de fraude publicitario móvil denominado “Iconads” se ha infiltrado en dispositivos Android en todo el mundo a través de 352 aplicaciones maliciosas distribuidas a través de Google Play Store, generando hasta 1.200 millones de solicitudes de ofertas fraudulentas diariamente en su máximo.
El esquema representa una evolución significativa en el fraude de publicidad móvil, que emplea técnicas de ofuscación avanzada para ocultar aplicaciones maliciosas de los usuarios mientras muestra anuncios intrusivos fuera de contexto.
La operación afectó a los usuarios a nivel mundial, con las concentraciones más altas de tráfico fraudulento que se originan en Brasil (16.35%), México (14.33%) y los Estados Unidos (9.5%).
A diferencia del adware tradicional, las aplicaciones de Iconads ocultan deliberadamente su presencia al reemplazar sus iconos visibles con rectángulos transparentes y etiquetas vacías, lo que hace que sea casi imposible para los usuarios identificar y eliminar las aplicaciones ofensivas de sus dispositivos.
Distribución global del tráfico asociado a Iconads (fuente-Seguridad humana)
Analistas de seguridad humana identificado La operación como una expansión de una amenaza que han estado monitoreando desde 2023, señalando adaptaciones tácticas significativas que surgieron en octubre de 2023.
Los investigadores descubrieron que las Iconads representan un nuevo nivel de sofisticación en el fraude publicitario móvil, combinando múltiples capas de ofuscación con mecanismos de persistencia innovadores.
La característica más distintiva del malware se encuentra en su mecanismo de ocultación de iconos, que explota la funcionalidad de Alias de actividad de Android para reemplazar los íconos de aplicaciones legítimos con marcadores de posición invisibles.
Esta técnica implica declarar un alias de actividad maliciosa en el manifiesto de la aplicación que anula la actividad de lanzador predeterminada después de la instalación.
Persistencia avanzada y tácticas de ofuscación
La operación de IconAds emplea un mecanismo de persistencia sofisticado centrado en el método SetComponeNableSettingSetting de Android, que permite que las aplicaciones modifiquen dinámicamente sus componentes visibles.
Tras la instalación, las aplicaciones maliciosas muestran inicialmente íconos y nombres legítimos para evitar sospechas. Sin embargo, una vez lanzado, ejecutan un código que permite un alias de actividad oculta al tiempo que deshabilita la actividad original del lanzador.
La implementación técnica implica la creación de un alias de actividad con un atributo de etiqueta de Android: etiqueta vacío y un recurso transparente dibujable.
Este enfoque asegura que incluso después de reiniciar el dispositivo, la aplicación maliciosa permanece oculta mientras continúa mostrando anuncios intrusivos.
Anuncios cargados fuera de contexto (fuente – Seguridad humana)
Algunas variantes llevan el engaño al imitar las propias aplicaciones de Google, utilizando versiones modificadas del icono de Play Store y la marca “Google Home” para aparecer como componentes legítimos del sistema.
La infraestructura de comando y control de la operación demuestra una notable sofisticación, con cada aplicación maliciosa que se comunica a través de dominios únicos siguiendo un patrón consistente.
Estos dominios emplean palabras en inglés aparentemente aleatorias para ofuscar la información del dispositivo durante las comunicaciones de la red, lo que hace que la detección y el análisis sean significativamente más desafiantes para los investigadores de seguridad.
Desde entonces, Google ha eliminado todas las aplicaciones de iconas identificadas de Play Store, y los usuarios con Google Play Protect habilitan la protección automática contra estas amenazas.
El descubrimiento destaca la evolución continua del fraude publicitario móvil y la necesidad de una vigilancia continua en las medidas de seguridad de la tienda de aplicaciones.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
