有关“大规模广告欺诈行动”的细节已经浮出水面,该行动利用 Google Play 商店中的数百个应用程序来执行一系列邪恶活动。
该活动的代号为Konfety(俄语中糖果的意思),因为它滥用了与俄罗斯广告网络CaramelAds相关的移动广告软件开发工具包(SDK)。
“Konfety代表了一种新形式的欺诈和混淆,其中威胁行为者在主要市场上操作’诱饵双胞胎’应用程序的’邪恶双胞胎’版本,”HUMAN的Satori威胁情报团队在与The Hacker News分享的一份技术报告中说。
虽然这些诱饵应用程序的数量超过 250 个,是无害的,并通过 Google Play 商店分发,但它们各自的“邪恶双胞胎”通过恶意广告活动传播,旨在促进广告欺诈、监控网络搜索、安装浏览器扩展程序以及将 APK 文件代码旁加载到用户的设备上。
该活动最不寻常的方面是,邪恶的双胞胎伪装成诱饵双胞胎,欺骗后者的应用程序 ID 和广告发布商 ID 来呈现广告。诱饵和邪恶的双胞胎应用程序都在同一基础架构上运行,允许威胁参与者根据需要呈指数级扩展其操作。
话虽如此,诱饵应用程序不仅表现正常,而且大多数甚至不呈现广告。它们还包含 GDPR 同意通知。
“这种’诱饵/邪恶双胞胎’混淆机制是威胁行为者将欺诈性流量表示为合法的一种新方法,”HUMAN研究人员说。“在巅峰时期,与 Konfety 相关的程序化处理量达到每天 100 亿个请求。”
换句话说,Konfety 利用 SDK 的广告渲染功能来实施广告欺诈,使区分恶意流量和合法流量更具挑战性。
据说 Konfety 邪恶的双胞胎应用程序是通过推广 APK 模组和其他软件(如 Letasoft Sound Booster)的恶意广告活动传播的,诱杀 URL 托管在攻击者控制的域、受感染的 WordPress 网站和其他允许内容上传的平台,包括 Docker Hub、Facebook、Google Sites 和 OpenSea。
