A equipa de investigação Satori Threat Intelligence da HUMAN descobriu e eliminou uma operação maliciosa batizada de IconAds. O esquema centrou-se numa coleção de 352 aplicações que uma vez instaladas nos smartphones Android carregavam anúncios fraudulentos e fora do contexto nos ecrãs dos equipamentos. Estas apps escondiam os respetivos ícones, tornando-se difíceis de serem identificadas e removidas dos smartphones.
Nas contas da empresa, durante o seu pico de atividade, a IconAds contabilizou cerca de 1,2 mil milhões de ativações por dia. A HUMAN explica no seu blog que esta campanha é uma expansão e evolução de uma operação que os investigadores estavam a monitorizar e a defender os equipamentos desde 2023.
A campanha IconAds, apesar de ter sido detetado a nível global, registou maior atividade de tráfego no Brasil, México e Estados Unidos. A Google já removeu todas as aplicações identificadas no relatório da empresa de cibersegurança da sua loja de apps. Os utilizadores passaram a ser também protegidos automaticamente pelo sistema Google Play Protect, ligado por defeito e capaz de alertar os utilizadores das aplicações que apresentam comportamentos maliciosos nos equipamentos Android e bloquear essas apps identificadas.
A HUMAN explica que alguma das características destas aplicações incluem a capacidade de ofuscação para esconder a informação do equipamento durante as comunicações de rede. “Quando uma aplicação é instalada, o nome e o respetivo ícone são mostrados, mas a partir do momento em que esta é executada, a atividade disfarçada declarada no manifesto fica ativa e persiste mesmo depois de voltar a executar a app ou reiniciar o equipamento”, refere a empresa.
Este modo de funcionamento permite à aplicação esconder o seu nome e ícone do ecrã principal, tornando difícil ao utilizador detetar a mesma e desinstalá-la. O objetivo destas aplicações é carregar anúncios. Outra atividade maliciosa associada a variantes das aplicações IconAds é a capacidade de assumir uma versão do ícone da Google Play Store, que pode passar despercebido aos utilizadores. Quando aberta, automaticamente redireciona para a aplicação da loja oficial, mas a atividade maliciosa continua a funcionar em segundo plano.
Os investigadores acreditam que existem diversas evoluções desta ameaça, esperando que continuem a adaptar-se, com novas aplicações a utilizar mais técnicas de se esconderem nos sistemas dos utilizadores. Mais detalhes técnicos sobre as aplicações IconAds podem ser consultadas no relatório da HUMAN.
