Phân Tích Chiến Dịch Lừa Đảo Quảng Cáo IconAds Trên Google Play Store
Nhóm Nghiên Cứu và Tình Báo Đe Dọa Satori của HUMAN đã thành công trong việc triệt phá một chiến dịch lừa đảo quảng cáo quy mô lớn mang tên IconAds. Chiến dịch này đã thâm nhập vào Google Play Store với tổng cộng 352 ứng dụng độc hại. Vào thời điểm đỉnh điểm, IconAds tạo ra một lượng yêu cầu đặt giá (bid requests) đáng kinh ngạc, lên tới 1.2 tỷ lượt mỗi ngày, làm ngập tràn màn hình người dùng bằng các quảng cáo không liên quan. Đồng thời, nó sử dụng các chiến thuật tinh vi để che giấu biểu tượng ứng dụng và che mờ nguồn gốc của chúng, khiến người dùng khó có thể xác định và gỡ bỏ các ứng dụng gây hại.
Phạm Vi và Tác Động Toàn Cầu của IconAds
Hoạt động của IconAds là một sự phát triển từ mối đe dọa được giám sát từ năm 2023, cho thấy phạm vi tiếp cận toàn cầu đáng kể. Lưu lượng truy cập chủ yếu đến từ các khu vực như Brazil, Mexico và Hoa Kỳ. Các ứng dụng độc hại này được thiết kế để hiển thị các quảng cáo xen kẽ (interstitial ads) xâm nhập, bất kể ứng dụng nào đang chạy ở nền trước. Điều này khai thác tương tác của người dùng để tạo ra doanh thu gian lận.
Ngay sau khi được xác định, Google đã nhanh chóng gỡ bỏ tất cả các ứng dụng IconAds khỏi nền tảng của mình. Người dùng hiện được bảo vệ bởi Google Play Protect, tính năng tự động chặn các hành vi độc hại trên thiết bị Android, hoạt động cùng với Google Play Services.
Các Phương Pháp Né Tránh và Che Giấu Kỹ Thuật
Các nhà nghiên cứu của Satori đã đi sâu vào các chi tiết kỹ thuật phức tạp của IconAds, làm sáng tỏ các phương pháp tinh vi mà chiến dịch này sử dụng để né tránh phát hiện và duy trì sự hiện diện trên thiết bị. Sự phức tạp này thể hiện qua nhiều lớp che giấu và kỹ thuật lừa đảo.
Chiến Thuật Che Giấu Ban Đầu
Các ứng dụng IconAds sử dụng các chiến thuật che giấu nhiều lớp nhằm gây khó khăn cho việc phân tích và phát hiện. Cụ thể:
- Che Giấu Dữ Liệu Giao Tiếp Mạng: Để che giấu các dữ liệu quan trọng như kiểu thiết bị (device model) và phiên bản hệ điều hành (OS version) trong quá trình giao tiếp mạng, các ứng dụng này sử dụng các từ tiếng Anh ngẫu nhiên. Điều này làm cho việc theo dõi và hiểu bản chất của dữ liệu được truyền đi trở nên khó khăn.
- Mã Hóa Chuỗi Ký Tự: Các chuỗi ký tự quan trọng bên trong ứng dụng được mã hóa thông qua các mảng byte. Việc giải mã các mảng byte này được thực hiện bởi một thư viện native đã được che giấu bằng công cụ O-MVLL obfuscator. Kỹ thuật này làm tăng đáng kể độ phức tạp khi phân tích tĩnh (static analysis) mã của ứng dụng.
Cơ Sở Hạ Tầng Command-and-Control (C2)
Để duy trì kiểm soát và linh hoạt, IconAds đã triển khai một cơ sở hạ tầng C2 được thiết kế để khó bị truy vết:
- Tên Miền C2 Duy Nhất: Mỗi ứng dụng độc hại thường sử dụng các tên miền C2 riêng biệt. Mặc dù các tên miền này có cấu trúc nhất quán nhưng vẫn đủ tổng quát để khó bị nhận diện là một phần của cùng một chiến dịch.
- Giải Quyết Backend Tập Trung: Một đặc điểm đáng chú ý là sự phân giải backend được chia sẻ tới các CNAME (Canonical Name record) cụ thể. Điều này cho thấy một sự kiểm soát tập trung, mặc dù các ứng dụng có vẻ như hoạt động độc lập với các tên miền C2 riêng biệt.
Chiến Thuật Giấu Biểu Tượng và Lừa Đảo Người Dùng
Một trong những chiến thuật lừa đảo đặc biệt hiệu quả của IconAds liên quan đến việc thay đổi hiển thị của ứng dụng:
- Activity-Alias Độc Hại: Một activity-alias độc hại được sử dụng để ghi đè lên biểu tượng và nhãn ứng dụng mặc định. Chúng thay thế bằng các hình ảnh trong suốt hoặc gây hiểu lầm, đôi khi bắt chước các ứng dụng hợp pháp như Google Play Store. Điều này giúp ứng dụng hòa nhập vào giao diện thiết bị mà không bị người dùng chú ý, làm cho việc tìm kiếm và gỡ cài đặt trở nên gần như bất khả thi đối với người dùng không nghi ngờ.
Sự Tiến Hóa của Các Biến Thể IconAds
Sự tiến hóa của IconAds cũng là một mối lo ngại lớn, với các biến thể mới được xác định vào tháng 10 năm 2023 đã giới thiệu các kỹ thuật che giấu tiên tiến hơn.
- Công Cụ Che Giấu Nâng Cao: Các biến thể mới sử dụng các công cụ như StringFog, mã hóa XOR multibyte, và tải động các tệp DEX đã được mã hóa từ tài sản của ứng dụng (assets). Những kỹ thuật này làm tăng thêm độ khó khi phân tích mã và hiểu chức năng của ứng dụng.
- Logic Gian Lận trong Thư Viện ELF: Một số ứng dụng thậm chí còn nhúng logic gian lận vào các thư viện ELF độc hại. Điều này cho phép chúng thực thi mã độc ở cấp độ thấp hơn, khó bị phát hiện hơn bởi các giải pháp bảo mật thông thường.
- Ngụy Trang Bằng Biểu Tượng Google: Để đánh lừa người dùng một cách triệt để, một số ứng dụng ngụy trang bằng các biểu tượng và tên liên quan đến Google, làm tăng vẻ ngoài hợp pháp của chúng.
Né Tránh Phân Tích và Phát Hiện
IconAds cũng tích hợp các cơ chế để tránh bị phát hiện trong môi trường phân tích bảo mật:
- Kiểm Tra Giấy Phép Sử Dụng PairIP: Một sự thích ứng đáng chú ý bao gồm việc thực hiện kiểm tra giấy phép sử dụng thư viện PairIP. Mục đích là để xác minh xem ứng dụng có được cài đặt từ Play Store hay không. Nếu ứng dụng được cài đặt từ nguồn ngoài (sideloaded), hoạt động độc hại sẽ bị dừng lại nhằm tránh bị phát hiện trong quá trình phân tích bởi các nhà nghiên cứu bảo mật.
- Sử Dụng Dịch Vụ DeepLinking của Bên Thứ Ba: Ngoài ra, các ứng dụng IconAds tận dụng các dịch vụ DeepLinking của bên thứ ba để kích hoạt các luồng độc hại một cách có chọn lọc. Điều này thể hiện một cách tiếp cận có tính toán nhằm né tránh kiểm thử động (dynamic testing) và chỉ kích hoạt mã độc khi các điều kiện cụ thể được đáp ứng trên thiết bị của người dùng thông thường.
Mặc dù có tuổi thọ ngắn trên Play Store, các ứng dụng IconAds vẫn đại diện cho một mối đe dọa dai dẳng. Các nhà nghiên cứu của Satori dự đoán rằng sẽ có thêm các sự thích nghi và kỹ thuật che giấu mới trong tương lai.
Phản Ứng của Ngành và Các Khuyến Nghị
Theo báo cáo, nền tảng Ad Fraud Defense của HUMAN đã bảo vệ thành công khách hàng của mình khỏi tác động của IconAds. Nhóm HUMAN tiếp tục theo dõi chặt chẽ bối cảnh mối đe dọa để phát hiện các biến thể mới nổi.
Đối với các bên liên quan trong hệ sinh thái quảng cáo kỹ thuật số, các khuyến nghị được đưa ra nhằm tăng cường khả năng phòng thủ:
- Đối với các Nền tảng Bên Cầu (DSPs – Demand Side Platforms): Cần có quy trình kiểm duyệt kho quảng cáo (inventory vetting) nghiêm ngặt để tránh các ứng dụng đáng ngờ. Đồng thời, cần triển khai giám sát thời gian thực cơ sở hạ tầng C2 bằng cách sử dụng thông tin tình báo mối đe dọa được cập nhật liên tục.
- Đối với các Nền tảng Bên Cung (SSPs – Supply Side Platforms): Các SSPs được khuyến nghị tăng cường khả năng phát hiện bất thường đối với các mẫu lưu lượng truy cập bất thường và thực thi tính minh bạch trong siêu dữ liệu ứng dụng (app metadata).
Chiến dịch IconAds là một minh chứng rõ ràng cho sự tinh vi ngày càng tăng của lừa đảo quảng cáo trên thiết bị di động. Sự hợp tác chủ động trong toàn ngành vẫn là yếu tố then chốt để bảo vệ tính toàn vẹn của quảng cáo kỹ thuật số và lòng tin của người dùng.
