Pesquisadores de segurança descobriram 75 aplicativos na Google Play e outros dez na App Store da Apple envolvidos em fraude de anúncios. Coletivamente, eles somam 13 milhões de instalações. Além de inundar os usuários de dispositivos móveis com anúncios, tanto visíveis quanto ocultos, os aplicativos fraudulentos também geraram receita ao se passar por aplicativos e impressions legítimos — impressions é a quantidade de vezes que um anúncio é exibido em uma site.
Embora esses tipos de aplicativos não sejam vistos como uma ameaça grave, seus operadores podem usá-los para atividades mais perigosas. Pesquisadores da equipe Satori Threat Intelligence da Human identificaram uma coleção de aplicativos móveis que fazem parte de uma nova campanha de fraude publicitária, que eles chamaram de ‘Scylla’.
Veja isso
Hackers inserem aplicativos Oauth no exchange para espalhar spam
Mercado de firewall de aplicativos da web cresce 18,9% ao ano
Os analistas acreditam que Scylla é a terceira onda de uma operação encontrada em agosto de 2019 e apelidada de ‘Poseidon’. A segunda onda, aparentemente do mesmo operador de ameaças, foi chamada de ‘Charybdis’ e culminou no final de 2020.
A equipe Satori informou o Google e a Apple sobre suas descobertas e os aplicativos foram removidos das lojas oficiais do Android e do iOS. Em dispositivos Android, a menos que o usuário tenha a opção de segurança Play Protect desativada, os aplicativos devem ser detectados automaticamente.
Para iOS, a Apple não é clara sobre como remover aplicativos de adware já instalados no dispositivo. A Human está recomendando que os usuários removam os aplicativos fraudulentos se estiverem presentes em seus dispositivos. Uma pequena lista com os mais baixados deles está presente abaixo:
Lista de aplicativos iOS:
• Loot the Castle – com.loot.rcastle.fight.battle (id1602634568)
• Run Bridge – com.run.bridge.race (id1584737005)
• Shinning Gun – com.shinning.gun.ios (id1588037078)
• Racing Legend 3D – com.racing.legend.like (id1589579456)
• Rope Runner – com.rope.runner.family (id1614987707)
• Wood Sculptor – com.wood.sculptor.cutter (id1603211466)
• Fire-Wall – com.fire.wall.poptit (id1540542924)
• Ninja Critical Hit – wger.ninjacriticalhit.ios (id1514055403)
• Tony Runs – com.TonyRuns.game
Lista de aplicativos Android (mais de 1 milhão de downloads)
• Super Hero-Save the world! – com.asuper.man.playmilk
• Spot 10 Differences – com.different.ten.spotgames
• Find 5 Differences – com.find.five.sutil.differences.spot.new
• Dinosaur Legend – com.huluwagames.dinosaur.legend.play
• One Line Drawing – com.one.line.drawing.stroke.yuxi
• Shoot Master – com.shooter.master.bullet.puzzle.huahong
• Talent Trap – NOVO – com.talent.trap.stop.all
A lista completa de aplicativos que fazem parte da onda de fraude de anúncios Scylla está disponível no relatório da Human. Os aplicativos Scylla normalmente usavam um ID de pacote que não corresponde ao nome da publicação, para fazer parecer aos anunciantes como se os cliques/impressions do anúncio fossem de uma categoria de software mais lucrativa.
Os pesquisadores descobriram que 29 aplicativos Scylla imitavam até 6 mil aplicativos baseados em CTV (TV conectada) e alternavam regularmente entre os IDs para evitar a detecção de fraudes. No Android, os anúncios são carregados em janelas ocultas do WebView, para que a vítima nunca perceba nada suspeito, pois tudo acontece em segundo plano.
Além disso, o adware usa um sistema “JobScheduler” para acionar eventos de impressão de anúncios quando as vítimas não estão usando ativamente seus dispositivos, por exemplo, quando a tela está desligada. Os sinais de fraude são registrados em logs e podem ser vistos nas capturas de pacotes de rede, mas os usuários comuns normalmente não os examinam.
Os usuários devem monitorar seus aplicativos em busca de apps mal-intencionados ou indesejados procurando alguns sinais que normalmente indicam um problema, como drenagem rápida da bateria e aumento do uso de dados da internet ou aplicativos que o usuário não se lembra de ter instalado. Também é recomendável verificar a lista de aplicativos instalados e remover aqueles que o usuário não se lembra de ter instalado ou vindo de um fornecedor desconhecido.