I ricercatori di HUMAN hanno individuato oltre 75 app Android e oltre 10 app iOS sugli store di Google e Apple che sono state utilizzate per ottenere profitti illeciti dalle inserzioni pubblicitarie. Le nuove campagne Charybdis e Scylla derivano dall’originaria operazione Poseidon di tre anni fa. Gli adware non sono una novità, ma le “ad-fraud app” scoperte da HUMAN sfruttano tattiche e tecniche piuttosto sofisticate.
Truffe con Scilla e Cariddi
A differenza di Poseidon, gli autori di Charybdis hanno sfruttato il tool Allatori per offuscare il codice all’interno delle app ospiti. Il target è quindi il software development kit (SDK) usato dagli sviluppatori per inserire le inserzioni pubblicitarie (legittime) nelle app. Scylla sfrutta altre tre tecniche per mettere in atto la truffa.
Nel codice delle app viene inserito un bundle ID che non corrisponde al nome mostrato sul dispositivo. Gli inserzionisti credono quindi che siano app molto popolari. Un’altra tecnica prevede il caricamento dei banner pubblicitari in finestre WebView nascoste (su Android). L’utente non vede nulla, ma gli inserzionisti pagano per le impression fasulle. Infine, Scylla simula un clic/tap sul banner quando il dispositivo non viene usato o lo schermo è spento.
Tutte le app sono state rimosse da Apple e Google. L’elenco completo è disponibile sul sito di HUMAN. Gli utenti dovrebbero installare una soluzione di sicurezza che rileva e blocca questo tipo di malware.