Sofisticirana operacija prevare s mobilnim oglašavanjem nazvana “IconAds” infiltrirala se na Android uređaje širom svijeta putem 352 zlonamjerne aplikacije distribuirane putem Google Play Storea, generirajući vrhunac od čak 1,2 milijarde lažnih zahtjeva za ponudu dnevno. Ovaj poduhvat predstavlja značajnu evoluciju u prevarama s mobilnim oglašavanjem, koristeći napredne tehnike prikrivanja kako bi se sakrile zlonamjerne aplikacije od korisnika, istovremeno prikazujući nametljive oglase izvan konteksta. Operacija je zahvatila korisnike globalno, s najvećom koncentracijom prometa od prijevara koji potječe iz Brazila (16,35%), Meksika (14,33%) i Sjedinjenih Američkih Država (9,5%).
Za razliku od tradicionalnog adwarea, IconAds aplikacije namjerno prikrivaju svoje postojanje zamjenom vidljivih ikona prozirnim pravougaonim oblicima i praznim oznakama, čineći gotovo nemogućim da korisnici identificiraju i uklone sporne aplikacije sa svojih uređaja. Analitičari kompanije Human Security identificirali su ovu operaciju kao proširenje prijetnje koju prate od 2023. godine, primjećujući značajne taktičke adaptacije koje su se pojavile u oktobru 2023. godine.
Istraživači su otkrili da IconAds predstavlja novu razinu sofisticiranosti u prevarama s mobilnim oglašavanjem, kombinirajući višestruke slojeve prikrivanja s inovativnim mehanizmima postojanosti. Najizrazitija karakteristika zlonamjernog softvera leži u njegovom mehanizmu skrivanja ikona, koji iskorištava funkciju aliasa aktivnosti Androida kako bi zamijenio legitimne ikone aplikacija nevidljivim zamjenama. Ova tehnika uključuje deklariranje zlonamjernog aliasa aktivnosti u manifestu aplikacije koji nadjačava zadane aktivnosti pokretanja nakon instalacije.
Operacija IconAds koristi sofisticirani mehanizam postojanosti usmjeren oko metode setComponentEnabledSetting u Androidu, koja aplikacijama omogućuje dinamičko mijenjanje njihovih vidljivih komponenti. Nakon instalacije, zlonamjerne aplikacije prvobitno prikazuju legitimne ikone i nazive kako bi izbjegle sumnju. Međutim, nakon pokretanja, izvršavaju kod koji omogućuje skriveni alias aktivnosti, istovremeno onemogućujući originalnu aktivnost pokretanja. Tehnička implementacija uključuje kreiranje aliasa aktivnosti s atributom android:label postavljenim na praznu vrijednost i resursom prozirnog crteža. Ovaj pristup osigurava da zlonamjerna aplikacija ostane skrivena čak i nakon ponovnog pokretanja uređaja, nastavljajući pritom prikazivati nametljive oglase.
Neke varijante idu još dalje u obmanjivanju imitirajući vlastite aplikacije kompanije Google, koristeći modificirane verzije ikone Play Storea i brendiranja “Google Home” kako bi izgledale kao legitimne sistemske komponente. Upravljačka i kontrolna infrastruktura operacije pokazuje izvanrednu sofisticiranost, s tim da svaka zlonamjerna aplikacija komunicira putem jedinstvenih domena koje slijede dosljedan obrazac. Ove domene koriste naizgled nasumične engleske riječi kako bi prikrile informacije o uređaju tokom mrežnih komunikacija, čineći detekciju i analizu znatno težom za sigurnosne istraživače.
Kompanija Google je od tada uklonila sve identificirane IconAds aplikacije iz Play Storea, a korisnici s omogućenim Google Play Protectom dobijaju automatsku zaštitu od ovih prijetnji. Ovo otkriće naglašava kontinuiranu evoluciju prevara s mobilnim oglašavanjem i potrebu za stalnom budnošću u mjerama sigurnosti prodavnica aplikacija.
