Разоблачение масштабных мошеннических операций на Android: IconAds, Kaleidoscope, SMS-малварь и NFC-мошенничество

Цифровое искусство NFT

Платформа Android, будучи одной из самых популярных операционных систем в мире, неизменно становится привлекательной целью для киберпреступников. В последние годы эксперты сферы кибербезопасности выявили несколько крупных масштабных мошеннических операций, которые затрагивают миллионы пользователей по всему миру. Среди них выделяются такие схемы, как IconAds, Kaleidoscope, а также новые опасные угрозы в виде SMS-малвари и злоупотребления технологией NFC. Рассмотрим подробнее, как именно эти угрозы действуют и какие риски несут для пользователей Android-устройств. IconAds — одна из самых масштабных рекламных мошеннических сетей, выявленных за последние годы.

Согласно отчёту компании HUMAN, эта операция включала в себя 352 вредоносных Android-приложения, которые распространялись через Google Play и другие источники. Основной механизм работы IconAds заключается в загрузке рекламных объявлений вне контекста, то есть независимо от того, какое приложение в данный момент активно. Вредоносные приложения скрывали свои иконки с домашнего экрана пользователя, что затрудняло их обнаружение и удаление. За период активности эта мошенническая сеть формировала около 1,2 миллиарда запросов на ставки в день. Большинство пользователей, пострадавших от IconAds, находились в Бразилии, Мексике и Соединенных Штатах, что указывает на широкий географический охват операции.

Технически IconAds использовал различные методы обфускации для сокрытия идентификационных данных устройств во время сетевых коммуникаций. Кроме того, злоумышленники применяли манипуляции с манифестом приложений, изменяя активность запускаемого приложения, что позволяло им подменять иконки и имена стандартных приложений. Некоторые версии даже маскировались под официальные сервисы Google Play, перенаправляя пользователя на легитимные страницы, в то время как вредоносная активность происходила незаметно в фоне. Несмотря на то что Google регулярно удалял вредоносные приложения, мошенники адаптировались, внедряя новые методы укрытия и проверок лицензий, чтобы усложнить обнаружение. Существует высокая вероятность, что угрозы, подобные IconAds, продолжат развиваться, представляя серьёзную опасность для пользователей Android.

Ещё одна заметная мошенническая кампания — Kaleidoscope, которую недавно раскрыла лаборатория IAS Threat Lab. Данная операция использует приём, известный как «evil twin» — параллельное распространение двух версий одного приложения. На Google Play публикуется безобидный «двойник», тогда как через сторонние магазины распространяется «злой двойник» с встроенной агрессивной рекламой, направленной на мошенническую генерацию рекламных показов. Инструментом для реализации схемы стала адаптация рекламы SDK, таких как CaramelAds, заменённая новыми вариантами, чтобы избежать мониторинга. Чаще всего жертвами становятся пользователи из Латинской Америки, Турции, Египта и Индии — регионах с высокой популярностью сторонних апсторов.

Установка «злого» приложения приводит к появлению насущенных, навязчивых рекламных объявлений, ухудшающих производительность устройства и обманывающих рекламодателей, которые платят за фальшивые просмотры. Интересно, что часть доходов, генерируемых Kaleidoscope, связана с португальской компанией Saturn Dynamic, позиционирующей себя как сервис монетизации рекламы. Помимо мошенничества с рекламой, Android стал мишенью для опасных финансовых атак, основанных на технологии NFC. Малварь вроде NGate и SuperCard X использует продвинутые релейные атаки, пропуская NFC-сигналы с платёжных карт через заражённые смартфоны к устройствам злоумышленников, позволяя им дистанционно снимать деньги с банкоматов. Подобные кампании уже зафиксированы с успешными заражениями в России, Италии, Германии и Чили.

Особое упоминание заслуживает метод Ghost Tap, при котором украденные данные карт добавляют в цифровые кошельки Google Pay или Apple Pay, а затем мошенники совершают бесконтактные платежи посредством поднесения скомпрометированных устройств к терминалам. Такие платежи выглядят легитимными, обходя традиционные системы безопасности и облегчая киберпреступникам вывод средств. Ещё одна масштабная опасность — обнаруженный в Узбекистане SMS-троян Qwizzserial, который заразил почти сто тысяч устройств. Эта малварь специально нацелена на кражу данных двухфакторной аутентификации и конфиденциальной информации, перехватывая SMS-сообщения и отправляя их злоумышленникам через Telegram-боты. Заражения происходят через фальшивые APK-файлы, распространяемые в каналах, замаскированных под официальные государственные или банковские сервисы.

С помощью социальных манипуляций и обмана Qwizzserial заставляет пользователей предоставлять доступ к SMS и телефонным звонкам, а также вводить личные данные, что приводит к прямым финансовым потерям. Модель управления этим трояном характерна — с помощью Telegram-ботов злоумышленники централизуют сбор данных и координацию активности. Дополнительно злонамеренное ПО активно работает в фоновом режиме, обходя ограничения оптимизации батареи, что затрудняет его обнаружение и удаление. В Индии в последнее время наблюдается волна атак, связанных с распространением вредоносных APK через мессенджеры WhatsApp и Telegram, замаскированных под приглашения на свадьбы и другие социальные мероприятия. Целью этих кампаний является внедрение шпионского ПО, в том числе SpyMax RAT, способного похищать разнообразные данные с устройства.

Кроме того, специалисты отмечают появление новой троянской угрозы SparkKitty, поражающей как Android, так и iOS, распространяемой через модифицированные версии известных приложений и мошеннические сайты. Механизм заражения iOS связан с использованием действующего сертификата разработчика Apple, что позволяет обходить проверки официального магазина приложений и выгружать троян напрямую на устройство. Одной из особенностей SparkKitty является использование технологии оптического распознавания текста (OCR), что позволяет искать конкретные изображения, например, содержащие секретные фразы криптовалютных кошельков. Главное внимание злоумышленники уделяют регионам Юго-Восточной Азии и Китая, где эти виды кибершпионского ПО получили наибольшее распространение. Все эти случаи показывают, насколько современная мобильная экосистема подвержена сложным и многоуровневым атакам, которые выходят за рамки обычного распространения рекламы и переходят в области финансового мошенничества и кражи персональных данных.