L’alerte de Satori Threat Intelligence a révélé une opération de fraude publicitaire mobile sophistiquée nommée IconAds. Cette opération impliquait 352 applications qui affichaient des publicités hors contexte sur les écrans des utilisateurs tout en cachant les icônes des applications, rendant difficile leur identification et suppression.

IconAds a été une expansion d’une opération surveillée depuis 2023. À son apogée, elle représentait 1,2 milliard de requêtes d’enchères par jour, avec un trafic principalement issu du Brésil, du Mexique et des États-Unis. Google a supprimé toutes les applications identifiées du Google Play Store, protégeant ainsi les utilisateurs via Google Play Protect.

L’analyse technique a révélé des tactiques d’obfuscation en couches, des modèles de communication de commande et de contrôle (C2), et l’utilisation d’un alias d’activité malveillant. Les applications utilisaient des techniques d’obfuscation pour compliquer l’ingénierie inverse et la détection automatisée, et chaque application avait un domaine C2 unique.

Les chercheurs ont également identifié des techniques de dissimulation telles que le remplacement des icônes et des noms d’applications par des éléments similaires à ceux de Google Play Store. Les applications vérifiaient également leur installation depuis le Play Store pour activer leur comportement malveillant.

L’article est une publication de recherche visant à informer sur les méthodes sophistiquées de fraude publicitaire et à recommander des actions pour les plateformes publicitaires et les éditeurs afin de se protéger contre de telles menaces.

🧠 TTPs et IOCs détectés

TTP

[‘T1027: Obfuscated Files or Information’, ‘T1071: Application Layer Protocol’, ‘T1078: Valid Accounts’, ‘T1204: User Execution’, ‘T1216: System Script Proxy Execution’, ‘T1222: File and Directory Permissions Modification’, ‘T1564: Hide Artifacts’, ‘T1574: Hijack Execution Flow’]

IOC

[‘Domain: Unique C2 domains for each application’]

🔗 Source originale : https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-iconads/