Aggiornamenti recenti Luglio 4th, 2025 3:43 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Un cartello messicano ha spiato l’FBI hackerando i suoi dispositivi
- IconAds: quando le app fantasma diventano portali pubblicitari
- Ransomware e conflitti d’interesse: ex negoziatore sotto inchiesta per presunti legami con i cybercriminali
- In aumento i cyberattacchi dall’Iran: l’allarme delle agenzie di sicurezza americane
- Una vulnerabilità di Open VSX Registry mette in pericolo milioni di sviluppatori
IconAds: quando le app fantasma diventano portali pubblicitari
Recentemente il team Satori Threat Intelligence di HUMAN ha scoperto un’operazione sofisticata di pubblicità fraudolenta nota come IconAds che coinvolge ben 352 app Android progettate per ingannare l’utente e sfuggire ai controlli. Al picco della sua attività, questa rete generava circa 1,2 miliardi di richieste pubblicitarie al giorno, un volume impressionante per una campagna malevola in the wild (Human Security).
La peculiarità più preoccupante di IconAds è la capacità di dissimulare la propria presenza sul dispositivo: l’icona delle app veniva sostituita da un elemento trasparente e il nome veniva azzerato. L’utente, trovandosi davanti a una schermata apparentemente vuota, non poteva individuare l’app responsabile del comportamento intrusivo, né rimuoverla con facilità.
IconAds non è un fenomeno isolato, ma si inserisce in un filone iniziato già nel 2023, con operazioni note come HiddenAds e Vapor. In quel primo stadio i volumi di traffico fraudolento erano inferiori, nell’ordine delle decine di milioni di richieste al giorno, ma con l’evoluzione in IconAds gli attori malevoli hanno moltiplicato i volumi e perfezionato le tecniche di evasione.
Tecniche di offuscamento a più livelli
Gli sviluppatori hanno messo in atto sofisticate tecniche anti-analisi, camuffando il codice con metodi dai nomi casuali composti da zeri e “O”. Le librerie native utilizzavano l’offuscamento O-MVLL, e le stringhe inviate ai server C2 venivano trasformate in parole inglesi casuali, rendendo difficile l’individuazione delle informazioni trasmesse. Il livello di complessità raggiunto rendeva l’analisi quasi impossibile senza una visione d’insieme coordinata.
Ogni app collegata a IconAds comunicava con un dominio di comando e controllo dedicato, caratterizzato da sottodomini generati in modo sistematico. Le comunicazioni avvenivano tramite JSON con chiavi casuali e dati sul dispositivo. Questa frammentazione delle infrastrutture C2 ha reso particolarmente ardua l’attribuzione e la neutralizzazione delle app fraudolente, sebbene gli analisti di HUMAN siano riusciti a individuarne le tracce attraverso pattern ricorrenti.
Una delle tecniche più subdole adottate da IconAds è l’uso degli alias per l’attività principale dell’applicazione. Al primo avvio, veniva attivato un alias e disattivato il componente principale, facendo “scomparire” l’app dallo spazio visibile della schermata home. In questo modo, anche se l’utente voleva cancellarla, non riusciva nemmeno a trovarla tra le app installate.
L’azione dell’intera operazione risultava molto efficace per i criminali. Alcune app, come “com.works.amazing.colour”, caricavano pubblicità interstiziali a schermo intero pochi secondi dopo l’avvio, senza alcuna interazione da parte dell’utente, attivandole da timer o da comandi remoti. La visualizzazione forzata generava profitti ingenti, simulando un comportamento legittimo agli occhi degli inserzionisti, pur essendo completamente fraudolenta.
Impatto globale e risposta al fenomeno
La diffusione delle app malevole è stata globale, con picchi particolarmente elevati in Paesi come Brasile, Messico e Stati Uniti. Google ha reagito rapidamente rimuovendo le 352 app dallo store e attivando Play Protect per proteggere i dispositivi già infettati. HUMAN, dal canto suo, ha aggiornato la sua piattaforma Ad Fraud Defense, bloccando quasi in tempo reale il traffico generato da IconAds.
Nonostante l’intervento di Google, IconAds continua a evolversi, e nuove varianti vengono sviluppate per eludere le misure di difesa. Il team Satori è ancora impegnato nel monitoraggio dell’infrastruttura, cercando di anticipare i nuovi sviluppi. Solo un approccio proattivo e collaborativo tra aziende di sicurezza e fornitori di servizi può arginare efficacemente minacce di questo livello.
Condividi l'articolo
- ad fraud Android, app fantasma, comando e controllo C2, IconAds, malware Play Store, offuscamento codice, pubblicità fraudolente, Satori HUMAN Security, sicurezza mobile, truffe pubblicitarie Android
Un cartello messicano ha spiato l'FBI hackerando i suoi dispositivi
Ransomware e conflitti d’interesse: ex negoziatore sotto inchiesta per presunti legami con i cybercriminali
Articoli correlati
Altro in questa categoria
Approfondimenti
-
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Un cartello messicano ha spiato l’FBI hackerando i... Il Sinaloa, un cartello messicano, è riuscito ad... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
-
Ransomware e conflitti d’interesse: ex negoziatore sotto... Secondo quanto riportato da un articolo di Bloomberg, un... -
In aumento i cyberattacchi dall’Iran: l’allarme... In un documento congiunto rilasciato ieri, la CISA,... -
Una vulnerabilità di Open VSX Registry mette in pericolo... I ricercatori di Koi Security hanno individuato una...
Ransomware: la serie
No posts found.