352 приложения на вашем телефоне воруют деньги прямо сейчас — удаляйте немедленно

Специалисты компании HUMAN обнаружили крупную мошенническую операцию под названием IconAds. В её основе лежала сеть из 352 мобильных приложений, которые показывали рекламу поверх других программ, не привязанную к действию пользователя, и скрывали собственные иконки, чтобы усложнить их обнаружение и удаление. В пиковый момент активности операция генерировала до 1,2 миллиарда рекламных запросов в день.

IconAds стала развитием и усовершенствованием схемы, за которой специалисты наблюдают с 2023 года. Хотя о более ранних версиях этого мошенничества сообщали другие организации, ряд новых приёмов и технических деталей впервые был подробно описан именно сейчас. По данным HUMAN, вредоносный трафик, связанный с IconAds, зафиксирован по всему миру, но наибольшую его долю выявили в Бразилии, Мексике и США.

Все 352 вредоносных приложения были удалены из магазина Google Play. Пользователи Android защищены встроенной системой Google Play Protect, которая по умолчанию активна и блокирует известные опасные программы. Дополнительно клиенты HUMAN, использующие решения по защите от мошенничества в онлайн-рекламе, также защищены от последствий деятельности IconAds.

Технический анализ выявил, что приложения из экосистемы IconAds имеют схожие черты в программном коде, сетевом взаимодействии и поведении. Это позволило связать между собой разные версии схемы и выявить новые её адаптации.

Специалисты обратили внимание на три ключевые особенности вредоносных приложений:

• IconAds активно использует многоуровневую обфускацию . Для сокрытия параметров устройства при сетевом взаимодействии, таких как модель телефона, версия ОС и язык, применяются случайные английские слова. Эти же слова используются в путях URL, и для каждого приложения они уникальны. Кроме того, названия методов Java замаскированы бессмысленными наборами символов, а строки зашифрованы в виде байтовых массивов, расшифровка которых выполняется нативной библиотекой с глубокой обфускацией.
• Каждое приложение связано с уникальным доменом командного сервера ( C2 ), однако структура сетевых запросов сохраняется неизменной. Для маскировки инфраструктуры мошенники регистрируют отдельный домен для каждого приложения, но все они имеют схожую структуру и привязаны к общим серверам через CNAME-записи, что позволило экспертам отследить их взаимосвязь.
• Вредоносные приложения используют так называемое activity-alias — подмену основного элемента запуска приложения. Сначала при установке отображается нормальная иконка и название, но после первого запуска активируется замаскированный alias, из-за чего иконка и название исчезают или становятся невидимыми, а само приложение продолжает работать в фоновом режиме, показывая рекламу.

Пример работы схемы специалисты показали на приложении com.works.amazing.colour. После установки его иконка превращается в пустое белое пятно, название исчезает, а при попытке его открыть визуально ничего не происходит. Однако спустя несколько секунд вне зависимости от действий пользователя начинают появляться полноэкранные рекламные окна.

В некоторых случаях мошенники пошли ещё дальше и использовали иконки и названия популярных приложений, например Google Play Store, чтобы замаскировать вредоносное ПО под знакомые программы. Так, одно из приложений копировало внешний вид Google Play, а при запуске перенаправляло пользователя в настоящий магазин, продолжая в это время незаметно функционировать и показывать рекламу.

Эволюция IconAds продолжалась и в конце 2023 года. Специалисты обнаружили новые приложения, в которых были усовершенствованы методы сокрытия кода и поведения. Среди них — более сложная обфускация строк с использованием различных подходов, шифрование содержимого через multibyte XOR, подмена названий пакетов и перенос вредоносного кода в отдельные ELF-библиотеки.

Кроме того, новые версии приложений проверяют, была ли установка выполнена из Google Play. Если подпись не соответствует легитимной, приложение прекращает работу и не связывается с командным сервером. Также для обхода обнаружения злоумышленники используют сторонние платформы с поддержкой DeepLinking, чтобы активировать вредоносные функции только при определённых условиях.

Продолжительность жизни таких приложений обычно недолгая — после выявления и анализа их оперативно удаляют из Google Play . Однако из-за масштабов схемы и постоянного обновления тактики обнаружить все вредоносные экземпляры крайне сложно. HUMAN призывает пользователей Android быть особенно внимательными к подозрительным приложениям , особенно если иконка исчезла или выглядит как подделка под официальное приложение.