Er zijn details naar buiten gekomen over een “enorme advertentiefraudeoperatie” waarbij honderden apps in de Google Play Store worden gebruikt om allerlei duistere activiteiten uit te voeren.
De campagne heeft de codenaam Confetie – het Russische woord voor snoep – vanwege het misbruik van een mobiele advertentiesoftwareontwikkelingskit (SDK) die is gekoppeld aan een Russisch advertentienetwerk genaamd CaramelAds.
“Konfety vertegenwoordigt een nieuwe vorm van fraude en verduistering, waarbij kwaadwillenden ‘evil twin’-versies van ‘decoy twin’-apps exploiteren die beschikbaar zijn op grote marktplaatsen”, aldus het Satori Threat Intelligence Team van HUMAN in een technisch rapport dat is gedeeld met The Hacker News.
Hoewel de meer dan 250 nep-apps ongevaarlijk zijn en via de Google Play Store worden verspreid, worden hun respectievelijke ‘kwaadaardige tweelingen’ verspreid via een malvertisingcampagne die is ontworpen om advertentiefraude te vergemakkelijken, webzoekopdrachten te monitoren, browserextensies te installeren en APK-bestandscode op de apparaten van gebruikers te sideloaden.
Het meest ongebruikelijke aspect van de campagne is dat de kwaadaardige tweeling zich voordoet als de decoy twin door de app-ID en advertentie-uitgevers-ID’s van de laatste te spoofen voor het renderen van advertenties. Zowel de decoy als de kwaadaardige tweelingsets van apps werken op dezelfde infrastructuur, waardoor de dreigingsactoren hun operaties exponentieel kunnen schalen indien nodig.
Dat gezegd hebbende, de decoy-apps gedragen zich niet alleen normaal, de meeste geven zelfs geen advertenties weer. Ze bevatten ook een GDPR-toestemmingskennisgeving.
“Dit ‘decoy/evil twin’-mechanisme voor verduistering is een nieuwe manier voor dreigingsactoren om frauduleus verkeer als legitiem voor te stellen,” aldus onderzoekers van HUMAN. “Op het hoogtepunt bereikte het Konfety-gerelateerde programmatische volume 10 miljard verzoeken per dag.”
Met andere woorden, Konfety maakt gebruik van de advertentieweergavemogelijkheden van de SDK om advertentiefraude te plegen door het veel moeilijker te maken om kwaadaardig verkeer van legitiem verkeer te onderscheiden.
De kwaadaardige tweeling-apps van Konfety zouden worden verspreid via een malvertisingcampagne die APK-mods en andere software zoals Letasoft Sound Booster promoot. De met boobytraps beveiligde URL’s worden gehost op door aanvallers gecontroleerde domeinen, gecompromitteerde WordPress-sites en andere platforms die het uploaden van content toestaan, waaronder Docker Hub, Facebook, Google Sites en OpenSea.
Gebruikers die op deze URL’s klikken, worden doorgestuurd naar een domein dat hen ertoe verleidt de schadelijke evil twin-app te downloaden. Deze fungeert op zijn beurt als dropper voor een eerste fase die is gedecodeerd vanuit de assets van het APK-bestand en wordt gebruikt om command-and-control (C2)-communicatie op te zetten.
De eerste faser probeert vervolgens het pictogram van de app te verbergen op het startscherm van het apparaat en voert in de tweede fase een DEX-payload uit die fraude pleegt door buiten de context geplaatste, schermvullende videoadvertenties te tonen wanneer de gebruiker zich op het startscherm bevindt of een andere app gebruikt.
“De crux van de Konfety-operatie ligt in de kwaadaardige twin-apps”, aldus de onderzoekers. “Deze apps imiteren hun corresponderende decoy twin-apps door hun app-ID/pakketnamen en uitgevers-ID’s van de decoy twin-apps te kopiëren.”
“Het netwerkverkeer afkomstig van de evil twin-toepassingen is functioneel identiek aan het netwerkverkeer afkomstig van de decoy twin-toepassingen; de advertentie-impressies die door de evil twins worden weergegeven, gebruiken de pakketnaam van de decoy twins in de aanvraag.”
Andere mogelijkheden van de malware zijn onder meer het inzetten van de CaramelAds SDK als wapen om websites te bezoeken via de standaardwebbrowser, het lokken van gebruikers door meldingen te sturen die hen aansporen op valse links te klikken, of het sideloaden van aangepaste versies van andere advertentie-SDK’s.
Dat is nog niet alles. Gebruikers die de Evil Twins-apps installeren, worden aangeraden een zoekbalkwidget toe te voegen aan het startscherm van het apparaat, die stiekem hun zoekopdrachten monitort door de gegevens te versturen naar domeinen met de naam vptrackme(.)com en youaresearching(.)com.
“Dreigende actoren begrijpen dat het hosten van kwaadaardige apps in winkels geen stabiele techniek is, en vinden creatieve en slimme manieren om detectie te omzeilen en duurzame fraude op de lange termijn te plegen,” concludeerden de onderzoekers. “Actoren die mediatie-SDK-bedrijven opzetten en de SDK verspreiden om hoogwaardige uitgevers te misbruiken, is een groeiende techniek.”
