Фахівці Human Security виявили кампанію, пов’язану з рекламним шахрайством, яка отримала назву IconAds. Дослідники виявили в магазині Google Play 352 шкідливих програм.

За словами експертів, такі програми відображали на екрані нав’язливу позаконтекстну рекламу і приховували свої іконки з головного екрана пристрою, що ускладнювало їхнє видалення.

На піку своєї активності ця шахрайська схема генерувала понад 1,2 млрд рекламних запитів на добу. Переважна більшість трафіку, пов’язаного з IconAds, надходила з Бразилії, Мексики та США.

В даний час всі заражені програми IconAds вже видалені фахівцями Google з офіційного магазину для Android.

IconAds – це один з різновидів загрози, який також відстежується під іншими назвами, включаючи HiddenAds і Vapor. Такі шкідливі програми неодноразово проникали в Google Play Store, починаючи щонайменше з 2019 року.

Крім того, було помічено, що деякі варіанти програм IconAds видавали себе за Google Play Store (або використовували інші іконки та назви додатків, пов’язаних з Google). При запуску такої програми жертву перенаправляли на офіційний додаток, а шкідлива активність тривала у фоновому режимі.

Також у цій кампанії було виявлено низку інших нововведень: тепер малварь перевіряє ліцензію, щоб визначити, чи була програма встановлена ​​з Play Store. Якщо це не так, шкідлива активність припиняється, щоб уникнути виявлення під час аналізу. Крім того, було додано додаткові рівні обфускації, щоб протистояти динамічному аналізу.