Аналитический обзор отчета IAS “KALEIDOSCOPE”

Отчет компании Integral Ad Science (IAS) “KALEIDOSCOPE” проливает свет на изощренную и постоянно развивающуюся схему рекламного мошенничества (ad fraud) на платформе Android. Эта операция, получившая название “Kaleidoscope” из-за своей способности постоянно трансформироваться для уклонения от обнаружения, представляет серьезную угрозу для экосистемы мобильной рекламы. В данном аналитическом обзоре мы рассмотрим ключевые аспекты этой угрозы, ее масштабы, методы действия и предлагаемые IAS меры противодействия.

1. Суть угрозы “Kaleidoscope”

Угроза “Kaleidoscope” характеризуется использованием двойственной тактики:

• Легитимное прикрытие: Мошенники размещают безобидные на первый взгляд приложения в официальном магазине Google Play. Эти приложения служат “фасадом”, создавая видимость легитимной деятельности.
• Вредоносные дубликаты: Основная мошенническая активность происходит через дубликаты этих приложений, распространяемые преимущественно через сторонние магазины приложений (third-party app stores). Именно эти вредоносные версии генерируют мошеннические показы рекламы и клики.

Ключевые характеристики операции:

• Адаптивность: Схема постоянно меняется, используя ребрендинг SDK (Software Development Kits – наборы для разработки), запутанные сети доменов и скрытые командно-контрольные (C2) инфраструктуры.
• Масштаб: На момент отчета Threat Lab IAS выявила более 130 идентификаторов приложений (App ID), связанных с этой угрозой, включая 40 новых. Эти приложения генерируют более 2,5 миллионов новых мошеннических установок ежемесячно.
• География: Основной удар приходится на пользователей, загружающих приложения из сторонних магазинов. Более 20% пострадавших пользователей находятся в Индии, также значительные очаги зафиксированы в Индонезии, на Филиппинах и в Бразилии. Инфекции, вероятно, распространяются через агрессивную вредоносную рекламу (malvertising).

2. Механизм мошенничества и монетизации

• Навязчивая реклама: Вредоносные приложения показывают навязчивую рекламу “вне контекста” (out-of-context ads) – полноэкранные межстраничные объявления (interstitial ads) и видео, которые появляются даже без взаимодействия пользователя с приложением.
• Эксплуатация ID легитимных приложений: Мошенники используют идентификаторы (App ID) легитимных приложений, чтобы обмануть рекламные сети и рекламодателей, выдавая мошеннический трафик за легитимный.
• Централизованная монетизация: IAS удалось отследить значительную часть монетизации “Kaleidoscope” до центрального субъекта – компании Saturn Dynamic (saturndynamic.pt), базирующейся в Португалии. Эта компания играет ключевую роль, сотрудничая с сетью реселлеров, которые не проявляют должной осмотрительности при проверке качества рекламного инвентаря.
• Связь с пиратством: Анализ файлов app-ads.txt (декларации авторизованных продавцов рекламы) и sellers.json (информация о продавцах) выявил связь Saturn Dynamic с сайтами, известными распространением пиратского контента (например, kinogoo.fm, starfilx.in). Это указывает на то, что стратегия монетизации Saturn Dynamic сознательно включает сомнительный и незаконный инвентарь.

3. Эволюция и технические аспекты

Операция “Kaleidoscope” является развитием ранее известных схем, таких как “Konfety” (обнаружена Human Security в июле 2024 года), где также использовались двойные наборы приложений с SDK CaramelAds.

• Новые SDK-варианты: После разоблачения “Konfety” злоумышленники перешли на новые SDK, в которые была встроена функциональность CaramelAds. Эти новые SDK появляются под разными названиями (Leisure, Raccoon, Adsclub), но имеют практически идентичный код, функциональность и архитектуру.
• Сохранение инфраструктуры:
  • Некоторые приложения, перейдя на новые SDK, продолжали использовать те же домены для связи с серверами (например, api.advancedspot[.]com).
  • Другие приложения переключились на совершенно новые домены (например, global.getflyinc[.]com).
• Идентичные диалоги согласия и политики конфиденциальности: Сравнение текстов диалоговых окон запроса согласия на обработку данных в старых (CaramelAds) и новых SDK выявило идентичные формулировки и даже орфографические ошибки. Сайты с политиками конфиденциальности для этих SDK также имеют идентичный контент и были зарегистрированы практически одновременно (с разницей в секунды), что указывает на скоординированную операцию.
• Поведение вредоносных версий:
  • Запрашивают разрешение на отображение контента поверх других приложений (overlay functionality).
  • Связываются с жестко закодированным конфигурационным сервером (например, через библиотеку nextg на домен gl.flostikstar[.]com), передавая данные об устройстве и получая инструкции.
  • После получения согласия пользователя, браузер перенаправляется на C2-сервер (например, push.razkondronging[.]com), который регистрирует устройство и может перенаправить на низкокачественные рекламные сайты.
  • Эти сайты часто запрашивают разрешение на показ уведомлений, и в случае согласия начинают рассылать рекламные уведомления (часто с контентом для взрослых).
  • Устанавливают постоянное уведомление в системной шторке устройства для непрерывного показа рекламы.

4. Продолжающаяся эволюция: методы уклонения

Злоумышленники постоянно совершенствуют методы обхода защитных механизмов:

• Ложная маркировка “зашифровано”: С декабря 2024 года вредоносные версии “Kaleidoscope” стали появляться в антивирусных базах с пометкой “зашифровано”. Это ложный флаг: APK-файлы (которые по своей сути являются ZIP-архивами) не могут быть полностью зашифрованы для установки на Android, но ZIP-архивы могут быть защищены паролем, что устанавливает соответствующий флаг. Это делается для того, чтобы ввести в заблуждение инструменты анализа и антивирусы.
• Обфускация кода: Используются усложненные методы запутывания кода для затруднения анализа процесса распаковки и работы вредоносных компонентов.
• Использование ложных типов файлов: Чтобы сбить с толку исследователей.

5. Исторический контекст

“Kaleidoscope” – это не изолированное явление, а часть длительной эволюции рекламного мошенничества:

• 2018: SonicWall сообщает об adware “Panini” (полноэкранная реклама вне контекста).
• 2019: Dr. Web идентифицирует вредоносное ПО “HiddenAds” (навязчивая реклама и кража учетных данных).
• 2024: HUMAN сообщает о схеме “Konfety” (двойные приложения, CaramelAds SDK).
• 2025: IAS раскрывает новые варианты SDK в схеме “Kaleidoscope” (следы CaramelAds устранены, новые SDK и C2-серверы).

6. Меры противодействия со стороны IAS и Google

• Обмен информацией: IAS поделилась своими выводами с Google для расследования и принятия мер.
• Google Play Protect: Пользователи Android с сервисами Google Play по умолчанию защищены Google Play Protect, который может предупреждать или блокировать приложения с известным вредоносным поведением, даже если они установлены из сторонних источников. На момент отчета, по данным Google, нет известных приложений в Google Play, ведущих мошенническую деятельность “Kaleidoscope”.
• Защита партнеров IAS: Партнеры IAS защищены от угрозы “Kaleidoscope” через решение для предотвращения мошенничества на этапе предварительной ставки (pre-bid avoidance), доступное в их DSP (Demand-Side Platforms). Продвинутые модели машинного обучения IAS обеспечивают, чтобы DSP не делали ставки на показы, исходящие от этих мошеннических приложений.
• Публикация IOC: IAS предоставляет актуальные индикаторы компрометации (IOCs) – списки App ID и доменов, связанных с угрозой.

Заключение и Рекомендации для широкого круга читателей

Отчет IAS “Kaleidoscope” демонстрирует, что рекламное мошенничество становится все более изощренным и адаптивным. Злоумышленники проявляют упорство в обходе защитных механизмов, постоянно модифицируя свои тактики и инструменты.

Для пользователей:

• Осторожность при установке приложений: Загружайте приложения только из официальных магазинов (Google Play, App Store). Будьте особенно бдительны при установке из сторонних источников.
• Проверка разрешений: Внимательно изучайте, какие разрешения запрашивает приложение при установке и во время использования. Не предоставляйте избыточных разрешений, особенно на отображение поверх других приложений или доступ к уведомлениям, если это не является основной функцией приложения.
• Использование защитного ПО: Убедитесь, что на вашем устройстве активно защитное ПО (например, Google Play Protect) и регулярно обновляйте его.
• Критическое отношение к рекламе: Скептически относитесь к внезапно появляющейся полноэкранной рекламе или уведомлениям, особенно если они предлагают сомнительные услуги или загрузки.

Для представителей индустрии (рекламодатели, издатели, рекламные сети):

• Использование инструментов верификации: Внедряйте и используйте надежные решения для верификации и предотвращения рекламного мошенничества, такие как те, что предлагает IAS.
• Тщательная проверка партнеров: Проявляйте должную осмотрительность при выборе партнеров по монетизации и поставщиков трафика.
• Мониторинг app-ads.txt и sellers.json: Регулярно проверяйте и обновляйте эти файлы для обеспечения прозрачности цепочки поставок рекламы.
• Постоянное обучение и бдительность: Угрозы постоянно эволюционируют, поэтому важно оставаться в курсе новых тактик мошенников и адаптировать свои защитные стратегии.

“Kaleidoscope” служит ярким напоминанием о том, что борьба с рекламным мошенничеством – это непрерывный процесс, требующий сотрудничества, инноваций и постоянной бдительности от всех участников цифровой экосистемы.

Этот аналитический обзор охватывает основные моменты отчета IAS, представляя их в структурированной и доступной форме для широкой аудитории, включая как обычных пользователей, так и профессионалов индустрии.

Author: admin