Han surgido detalles sobre una «operación de fraude publicitario masivo» que aprovecha cientos de aplicaciones en Google Play Store para realizar una serie de actividades nefastas.
La campaña ha sido bautizada con el nombre en clave Confeti – la palabra rusa para caramelo – debido a su abuso de un kit de desarrollo de software de publicidad móvil (SDK) asociado con una red publicitaria con sede en Rusia llamada Anuncios de caramelo.
«Konfety representa una nueva forma de fraude y ofuscación, en la que los actores de amenazas operan versiones ‘gemelas malvadas’ de aplicaciones ‘gemelas señuelo’ disponibles en los principales mercados», dijo el equipo de inteligencia de amenazas Satori de HUMAN en un comunicado técnico. informe compartido con The Hacker News.
Si bien las aplicaciones señuelo, que suman más de 250, son inofensivas y se distribuyen a través de Google Play Store, sus respectivos «gemelos malvados» se difunden a través de una campaña de publicidad maliciosa diseñada para facilitar el fraude publicitario, monitorear búsquedas web, instalar extensiones de navegador y cargar archivos APK en los dispositivos de los usuarios.
El aspecto más inusual de la campaña es que el gemelo malvado se hace pasar por el gemelo señuelo falsificando el ID de la aplicación y el ID del editor de publicidad de este último para mostrar anuncios. Tanto el conjunto de aplicaciones del señuelo como el gemelo malvado operan en la misma infraestructura, lo que permite a los actores de amenazas escalar exponencialmente sus operaciones según sea necesario.
Dicho esto, las aplicaciones señuelo no solo se comportan con normalidad, sino que la mayoría de ellas ni siquiera muestran anuncios. Además, incorporan un aviso de consentimiento de conformidad con el RGPD.
«Este mecanismo de ofuscación ‘señuelo/gemelo malvado’ es una forma novedosa que tienen los actores de amenazas de presentar el tráfico fraudulento como legítimo», dijeron los investigadores de HUMAN. «En su punto máximo, el volumen programático relacionado con Konfety alcanzó los 10 mil millones de solicitudes por día».
En otras palabras, Konfety aprovecha las capacidades de representación de anuncios del SDK para cometer fraude publicitario al hacer que sea mucho más difícil distinguir el tráfico malicioso del tráfico legítimo.
Se dice que las aplicaciones gemelas malvadas Konfety se propagan a través de una campaña de publicidad maliciosa que promueve mods APK y otro software como Letasoft Sound Booster, con URL con trampa alojadas en dominios controlados por atacantes, sitios de WordPress comprometidos y otras plataformas que permiten cargas de contenido, incluidos Docker Hub, Facebook, Google Sites y OpenSea.
Los usuarios que terminan haciendo clic en estas URL son redirigidos a un dominio que los engaña para que descarguen la aplicación gemela maliciosa, que, a su vez, actúa como un cuentagotas para una primera etapa que se descifra a partir de los activos del archivo APK y se utiliza para configurar comunicaciones de comando y control (C2).
El creador inicial intenta además ocultar el ícono de la aplicación de la pantalla de inicio del dispositivo y ejecuta una carga útil DEX de segunda etapa que realiza fraude al mostrar anuncios de video en pantalla completa y fuera de contexto cuando el usuario está en su pantalla de inicio o usando otra aplicación.
«El quid de la operación Konfety reside en las aplicaciones gemelas malvadas», afirmaron los investigadores. «Estas aplicaciones imitan a sus aplicaciones gemelas señuelo correspondientes copiando sus identificadores de aplicación/nombres de paquete y los identificadores de editor de las aplicaciones gemelas señuelo».
«El tráfico de red derivado de las aplicaciones gemelas malvadas es funcionalmente idéntico al tráfico de red derivado de las aplicaciones gemelas señuelo; las impresiones de anuncios generadas por las aplicaciones gemelas malvadas utilizan el nombre del paquete de las aplicaciones gemelas señuelo en la solicitud».
Otras capacidades del malware incluyen utilizar el SDK de CaramelAds como arma para visitar sitios web usando el navegador web predeterminado, atrayendo a los usuarios mediante el envío de notificaciones que los incitan a hacer clic en enlaces falsos o cargando versiones modificadas de otros SDK de publicidad.
Pero eso no es todo. A los usuarios que instalan las aplicaciones Evil Twins se les insta a agregar un widget de barra de búsqueda a la pantalla de inicio del dispositivo, que monitorea subrepticiamente sus búsquedas al enviar los datos a dominios llamados vptrackme.[.]com y estas investigando[.]con.
«Los actores de amenazas comprenden que alojar aplicaciones maliciosas en las tiendas no es una técnica estable y están encontrando formas creativas e inteligentes de evadir la detección y cometer fraudes sostenibles a largo plazo», concluyeron los investigadores. «Los actores que crean empresas de SDK de mediación y difunden el SDK para abusar de los editores de alta calidad es una técnica en auge».