Surgiram detalhes sobre uma “operação massiva de fraude de anúncios” que utiliza centenas de aplicativos na Google Play Retailer para realizar uma série de atividades nefastas.
A campanha recebeu o codinome Confete – a palavra russa para doce – devido ao abuso de um package de desenvolvimento de software program de publicidade móvel (SDK) associado a uma rede de anúncios sediada na Rússia chamada CaramelAds.
“Konfety representa uma nova forma de fraude e ofuscação, na qual os agentes de ameaças operam versões 'gêmeas do mal' de aplicativos 'gêmeos chamarizes' disponíveis nos principais mercados”, disse a Equipe de Inteligência de Ameaças Satori da HUMAN em um relatório técnico compartilhado com o The Hacker Information.
Embora os aplicativos de isca, totalizando mais de 250, sejam inofensivos e distribuídos pela Google Play Retailer, seus respectivos “gêmeos malignos” são disseminados por meio de uma campanha de malvertising projetada para facilitar a fraude de anúncios, monitorar pesquisas na internet, instalar extensões de navegador e carregar códigos de arquivos APK nos dispositivos dos usuários.
O aspecto mais incomum da campanha é que o gêmeo maligno se disfarça como o gêmeo chamariz, falsificando o ID do aplicativo e os IDs do editor de publicidade deste último para renderizar anúncios. Os conjuntos de aplicativos chamariz e gêmeo maligno operam na mesma infraestrutura, permitindo que os agentes da ameaça escalem exponencialmente suas operações conforme necessário.
Dito isso, os aplicativos de isca não só se comportam normalmente, como a maioria deles nem mesmo exibe anúncios. Eles também incorporam um aviso de consentimento GDPR.
“Esse mecanismo de 'isca/gêmeo maligno' para ofuscação é uma nova maneira para os agentes de ameaças representarem tráfego fraudulento como legítimo”, disseram pesquisadores da HUMAN. “No seu pico, o quantity programático relacionado ao Konfety atingiu 10 bilhões de solicitações por dia.”
Em outras palavras, o Konfety aproveita os recursos de renderização de anúncios do SDK para cometer fraudes publicitárias, tornando muito mais difícil distinguir o tráfego malicioso do tráfego legítimo.
Dizem que os aplicativos gêmeos malignos Konfety são propagados por meio de uma campanha de malvertising promovendo mods de APK e outros softwares como o Letasoft Sound Booster, com URLs com armadilhas hospedadas em domínios controlados por invasores, websites WordPress comprometidos e outras plataformas que permitem uploads de conteúdo, incluindo Docker Hub, Fb, Google Websites e OpenSea.
Os usuários que clicam nessas URLs são redirecionados para um domínio que os induz a baixar o aplicativo malicioso Evil Twin, que, por sua vez, atua como um dropper para um primeiro estágio que é descriptografado dos ativos do arquivo APK e é usado para configurar comunicações de comando e controle (C2).
O estágio inicial tenta ainda ocultar o ícone do aplicativo da tela inicial do dispositivo e executa uma carga útil DEX de segundo estágio que realiza fraudes exibindo anúncios de vídeo em tela cheia e fora do contexto quando o usuário está na tela inicial ou usando outro aplicativo.
“O ponto essential da operação Konfety está nos aplicativos gêmeos malignos”, disseram os pesquisadores. “Esses aplicativos imitam seus aplicativos gêmeos chamariz correspondentes copiando seus IDs de aplicativo/nomes de pacote e IDs de editor dos aplicativos gêmeos chamariz.”
“O tráfego de rede derivado dos aplicativos gêmeos malignos é funcionalmente idêntico ao tráfego de rede derivado dos aplicativos gêmeos chamariz; as impressões de anúncios renderizadas pelos gêmeos malignos usam o nome do pacote dos gêmeos chamariz na solicitação.”
Outros recursos do malware incluem transformar o CaramelAds SDK em uma arma para visitar websites usando o navegador padrão, atraindo usuários enviando notificações que os levam a clicar em hyperlinks falsos ou carregando versões modificadas de outros SDKs de publicidade.
Isso não é tudo. Usuários que instalam os aplicativos Evil Twins são incentivados a adicionar um widget de barra de ferramentas de pesquisa à tela inicial do dispositivo, que monitora secretamente suas pesquisas enviando os dados para domínios chamados vptrackme(.)com e youaresearching(.)com.
“Os agentes de ameaças entendem que hospedar aplicativos maliciosos em lojas não é uma técnica estável e estão encontrando maneiras criativas e inteligentes de evitar a detecção e cometer fraudes sustentáveis de longo prazo”, concluíram os pesquisadores. “Atores que criam empresas de SDK de mediação e espalham o SDK para abusar de editores de alta qualidade são uma técnica crescente.”
