16 de julio de 2024Sala de prensaSeguridad móvil / Seguridad en línea Han surgido detalles sobre una «operación masiva de fraude publicitario» que aprovecha cientos de aplicaciones en Google Play Store para realizar una serie de actividades nefastas. La campaña ha recibido el nombre en código Konfety (la palabra rusa para caramelo) debido a su abuso de un kit de desarrollo de software (SDK) de publicidad móvil asociado con una red publicitaria con sede en Rusia llamada CaramelAds. «Konfety representa una nueva forma de fraude y ofuscación, en la que los actores de amenazas operan versiones ‘gemelas malvadas’ de aplicaciones ‘gemelas señuelo’ disponibles en los principales mercados», dijo el equipo de inteligencia de amenazas Satori de HUMAN en un informe técnico compartido con The Hacker News. Aunque las aplicaciones señuelo, que suman más de 250, son inofensivas y se distribuyen a través de Google Play Store, sus respectivos «gemelos malvados» se difunden a través de una campaña de publicidad maliciosa diseñada para facilitar el fraude publicitario, monitorear las búsquedas web, instalar extensiones del navegador y cargar archivos APK en los dispositivos de los usuarios. El aspecto más inusual de la campaña es que el gemelo malvado se hace pasar por el gemelo señuelo falsificando el ID de la aplicación y los ID del editor de publicidad de este último para mostrar anuncios. Tanto el conjunto de aplicaciones señuelo como el gemelo malvado operan en la misma infraestructura, lo que permite a los actores de amenazas escalar exponencialmente sus operaciones según sea necesario. Dicho esto, no solo las aplicaciones señuelo se comportan con normalidad, sino que la mayoría de ellas ni siquiera muestran anuncios. También incorporan un aviso de consentimiento del RGPD. «Este mecanismo de ‘señuelo/gemelo malvado’ para la ofuscación es una forma novedosa para que los actores de amenazas representen el tráfico fraudulento como legítimo», dijeron los investigadores de HUMAN. «En su punto máximo, el volumen programático relacionado con Konfety alcanzó los 10 mil millones de solicitudes por día». En otras palabras, Konfety aprovecha las capacidades de renderización de anuncios del SDK para cometer fraude publicitario al hacer que sea mucho más difícil distinguir el tráfico malicioso del tráfico legítimo. Se dice que las aplicaciones gemelas malvadas de Konfety se propagan a través de una campaña de publicidad maliciosa que promociona mods de APK y otro software como Letasoft Sound Booster, con las URL con trampas explosivas alojadas en dominios controlados por atacantes, sitios de WordPress comprometidos y otras plataformas que permiten la carga de contenido, incluidos Docker Hub, Facebook, Google Sites y OpenSea. Los usuarios que terminan haciendo clic en estas URL son redirigidos a un dominio que los engaña para que descarguen la aplicación gemela maliciosa, que, a su vez, actúa como un cuentagotas para una primera etapa que se descifra a partir de los activos del archivo APK y se usa para configurar las comunicaciones de comando y control (C2). El primer paso es ocultar el icono de la aplicación en la pantalla de inicio del dispositivo y ejecutar una segunda carga útil DEX que realiza el fraude mostrando anuncios de vídeo fuera de contexto y a pantalla completa cuando el usuario está en su pantalla de inicio o usando otra aplicación. «El quid de la operación Konfety reside en las aplicaciones gemelas malvadas», afirmaron los investigadores. «Estas aplicaciones imitan a sus aplicaciones gemelas señuelo correspondientes copiando sus nombres de ID/paquete de aplicaciones y los ID de editor de las aplicaciones gemelas señuelo». «El tráfico de red derivado de las aplicaciones gemelas malvadas es funcionalmente idéntico al tráfico de red derivado de las aplicaciones gemelas señuelo; las impresiones de anuncios generadas por las gemelas malvadas utilizan el nombre del paquete de las gemelas señuelo en la solicitud». Otras capacidades del malware incluyen la utilización del SDK CaramelAds para visitar sitios web utilizando el navegador web predeterminado, atraer a los usuarios enviándoles notificaciones que les incitan a hacer clic en los enlaces falsos o cargar versiones modificadas de otros SDK de publicidad. Eso no es todo. Se insta a los usuarios que instalan las aplicaciones Evil Twins a agregar un widget de barra de herramientas de búsqueda a la pantalla de inicio del dispositivo, que monitorea subrepticiamente sus búsquedas enviando los datos a dominios llamados vptrackme.[.]com y estas investigando[.]com. «Los actores de amenazas comprenden que alojar aplicaciones maliciosas en las tiendas no es una técnica estable y están encontrando formas creativas e inteligentes de evadir la detección y cometer fraudes sostenibles a largo plazo», concluyeron los investigadores. «Los actores que crean empresas de SDK de mediación y difunden el SDK para abusar de los editores de alta calidad es una técnica en crecimiento». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.