Команда Satori Threat Intelligence, специализирующаяся на анализе угроз, обнаружила масштабную операцию мошенничества с рекламой, известную как Konfety. Она использует злоумышленниками «злых двойников» приложений, которые распространяются на основных торговых площадках. В Google Play Store обнаружено более 250 приложений, связанных с Konfety, которые содержат модифицированную версию CaramelAds SDK, позволяющую осуществлять вредоносную деятельность.
Приложения-обманки в Google Play Store не совершают мошеннических действий, однако у каждого из них есть злой двойник, который распространяется в сторонних источниках и занимается мошенничеством. Злые двойники подменяют идентификаторы приложений и издателей рекламы, обманывая рекламные сети и пользователя. Такой метод обфускации в рекламном мошенничестве является новым способом для злоумышленников притворяться легитимным трафиком.
CaramelAds - это российская рекламная сеть, описывающая себя как партнерство с издателями и разработчиками рекламы премиум-класса. В 2023 году исследователи Satori обратили внимание на CaramelAds, когда заметили его в приложениях, связанных с кампанией BADBOX/PEACHPIT. Однако только в сентябре 2023 года исследователи обнаружили мошенничество, связанное с приложениями Konfety, которые использовали CaramelAds SDK.
SDK CaramelAds предоставляет базовую функциональность для отображения рекламы и аналитики. Однако его использование может быть изменено злоумышленниками, чтобы выполнить вредоносные действия, такие как контроль строки UserAgent, открытие вредоносных URL-адресов в браузере и выполнение определенного кода.
Indicators of Compromise
IPv4
- 146.59.47.74
- 185.117.88.15
- 217.12.201.177
- 5.149.249.226
- 51.75.61.102
- 51.75.61.103
Domains
- amzuu.com
- andbahn.com
- atswe.xyz
- buisness-exchange.com
- confbesttop.xyz
- crypto-change.biz
- cryptonomiconf.me
- downappgree.com
- jetengine.it
- magicinstll.com
- onetwofire.com
- poolpush.pro
- swe.xyz
- thild.info
- trymyconf.com
- vptrackme.com
- youaresearching.com
