Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Fraude publicitario de IconAds

Fraude publicitario de IconAds

Por Mezo en Malware móvil, Programas publicitarios
Traducir a:

Investigadores de ciberseguridad han descubierto y desmantelado una extensa operación de fraude publicitario móvil que involucraba cientos de aplicaciones engañosas para Android. Denominada IconAds, esta campaña ha empleado sofisticadas tácticas de evasión, se ha infiltrado en las tiendas oficiales de aplicaciones y ha explotado a usuarios desprevenidos para obtener enormes ganancias publicitarias.

IconAds: una operación de fraude publicitario encubierta

Investigadores descubrieron recientemente una red de fraude publicitario en Android denominada IconAds, compuesta por 352 aplicaciones maliciosas. Estas aplicaciones estaban diseñadas para mostrar anuncios intrusivos y fuera de contexto directamente en las pantallas de los usuarios, ocultando su presencia en el menú de aplicaciones del dispositivo, lo que hacía prácticamente imposible su eliminación manual. Afortunadamente, Google ya ha eliminado estas aplicaciones de Play Store.

En su apogeo, la operación de IconAds generó hasta 1200 millones de solicitudes de pujas de anuncios diariamente. El tráfico provenía principalmente de Brasil, México y Estados Unidos, lo que indica un enfoque de segmentación amplio pero regional.

IconAds no es del todo nuevo. Comparte características con otras amenazas conocidas, rastreadas bajo nombres como HiddenAds y Vapor, que han estado evadiendo repetidamente las defensas de Play Store desde al menos 2019.

Tácticas engañosas y comportamiento persistente

Las tácticas principales de IconAds se basan en el sigilo y la persistencia. Estas aplicaciones:

  • Utilice la ofuscación para ocultar información específica del dispositivo durante las comunicaciones de red.
  • Emplear patrones de nombres consistentes para sus dominios de comando y control (C2).
  • Reemplace la actividad PRINCIPAL/INICIADOR predeterminada de la aplicación con un alias para controlar cómo aparece y se comporta la aplicación.

Tras la instalación, la aplicación muestra inicialmente una etiqueta e icono normales. Sin embargo, al iniciarse, activa un alias de actividad oculto que persiste incluso después de reiniciar, lo que hace que la aplicación desaparezca de la pantalla de inicio. Esta maniobra impide que los usuarios localicen o desinstalen fácilmente la aplicación.

¿El objetivo final? Mostrar anuncios intersticiales a pantalla completa que interrumpan al usuario, independientemente de la aplicación legítima que esté usando.

En algunos casos, las variantes de IconAds se hacen pasar por Google Play Store u otras aplicaciones confiables de la marca Google. Estas aplicaciones señuelo redirigen a los usuarios a aplicaciones legítimas mientras realizan actividades fraudulentas de forma silenciosa.

Evasión y evolución: un objetivo en movimiento

A medida que IconAds ha evolucionado, las iteraciones más nuevas ahora incorporan capas adicionales de evasión:

  • Comprobaciones de licencia que desactivan el comportamiento malicioso si la aplicación se instala de forma lateral (una técnica común durante el análisis de seguridad).
  • Ofuscación mejorada para complicar la inspección tanto estática como dinámica.

Estas aplicaciones también tienen una vida útil intencionalmente corta, a menudo eliminadas rápidamente tras su detección, para luego ser reintroducidas con código modificado e identidades nuevas. Los investigadores advierten que es probable que IconAds siga adaptándose y resurgiendo bajo diferentes apariencias.

Caleidoscopio: El ascenso del mal: Aplicaciones gemelas

En un descubrimiento relacionado, los expertos han descubierto Kaleidoscope, una operación de fraude publicitario que emplea lo que los investigadores denominan la técnica del «gemelo malvado». Este modelo implica dos versiones casi idénticas de una aplicación:

  • Un 'gemelo señuelo' benigno alojado en Google Play Store.
  • Un "gemelo malvado" malicioso que circula a través de tiendas de aplicaciones de terceros o sitios web falsificados.

La contraparte maliciosa genera impresiones de anuncios fraudulentos utilizando anuncios de pantalla completa, sin ninguna interacción del usuario, mientras utiliza el mismo ID de aplicación que el señuelo para engañar a los anunciantes para que paguen por una interacción falsa.

Kaleidoscope es una evolución de un esquema similar conocido como Konfety, que originalmente utilizaba el SDK de CaramelAds. En su versión más reciente, se han eliminado las referencias a CaramelAds y sus funciones principales se han reintegrado en SDKs con nuevos nombres, como Leisure, Raccoon y Adsclub, para dificultar el seguimiento y la atribución.

Alcance global y vínculos comerciales

Entre diciembre de 2024 y mayo de 2025, Kaleidoscope afectó a un amplio sector de usuarios de Android, especialmente en Latinoamérica, Turquía, Egipto e India. Estas regiones son especialmente vulnerables debido a la alta prevalencia de tiendas de aplicaciones de terceros.

Las características clave de Kaleidoscope incluyen:

  • Anuncios intersticiales de pantalla completa que se activan sin la intervención del usuario.
  • Vistas de anuncios fraudulentos enrutadas a través de versiones de aplicaciones maliciosas.
  • Suplantación de identificaciones de aplicaciones legítimas para maximizar los ingresos por publicidad.

Gran parte de la monetización de Kaleidoscope se ha atribuido a una empresa portuguesa llamada Saturn Dynamic, que afirma ofrecer servicios legítimos de monetización de anuncios. Sin embargo, su infraestructura parece haber sido fundamental para facilitar el fraude publicitario a gran escala mediante la distribución y monetización de estas aplicaciones engañosas.

Reflexiones finales: Un panorama de amenazas en constante cambio

Tanto IconAds como Kaleidoscope ilustran la naturaleza cambiante del fraude publicitario móvil. Estas operaciones difuminan la línea entre comportamiento legítimo y malicioso al ocultar actividades dañinas tras aplicaciones que, por lo demás, serían inofensivas. A medida que estas amenazas cambian de táctica, es fundamental que tanto las tiendas de aplicaciones, los desarrolladores como los usuarios se mantengan alerta y que los profesionales de la ciberseguridad se anticipen a los mecanismos de fraude cada vez más evasivos.

Tendencias

Mas Visto

Cargando...