Sofisticirana prevara u oblasti mobilnog oglašavanja pod nazivom „IconAds“ infiltrirala se na Android uređaje širom svijeta putem 352 maliciozne aplikacije distribuirane kroz Google Play Store, generišući čak 1,2 milijarde lažnih zahtjeva za oglašavanjem dnevno. Ova operacija predstavlja značajnu evoluciju u mobilnim oglašivačkim prevarama, koristeći napredne tehnike prikrivanja kako bi se maliciozne aplikacije sakrile od korisnika, dok istovremeno prikazuju nametljive oglase van konteksta. Operacija je zahvatila korisnike globalno, s najvećom koncentracijom saobraćaja iz prevara iz Brazila (16,35%), Meksika (14,33%) i Sjedinjenih Američkih Država (9,5%).
Za razliku od tradicionalnog adware softvera, IconAds aplikacije namjerno prikrivaju svoje prisustvo zamjenom vidljivih ikona prozirnim pravougaonim oblicima i praznim oznakama, što korisnicima gotovo onemogućava da identifikuju i uklone problematične aplikacije sa svojih uređaja. Analitičari kompanije Human Security identifikovali su ovu operaciju kao proširenje prijetnje koju prate još od 2023. godine, ističući značajne taktičke adaptacije koje su se pojavile u oktobru iste godine.
Istraživači su otkrili da IconAds predstavlja novu razinu sofisticiranosti u mobilnim oglašivačkim prevarama, kombinujući više slojeva prikrivanja sa inovativnim mehanizmima postojanosti. Najizraženija karakteristika malicioznog softvera ogleda se u njegovom mehanizmu skrivanja ikona, koji iskorišćava funkciju aliasa aktivnosti u Androidu kako bi legitimne ikone aplikacija bile zamijenjene nevidljivim verzijama. Ova tehnika uključuje deklaraciju malicioznog aliasa aktivnosti u manifestu aplikacije koji nadjačava podrazumijevane aktivnosti pokretanja nakon instalacije.
Operacija IconAds koristi sofisticirani mehanizam postojanosti zasnovan na metodi setComponentEnabledSetting u Androidu, koja omogućava aplikacijama da dinamički mijenjaju vidljive komponente. Nakon instalacije, maliciozne aplikacije u početku prikazuju legitimne ikone i nazive kako bi izbjegle sumnju. Međutim, nakon pokretanja, izvršavaju kod koji omogućava skriveni alias aktivnosti, dok istovremeno deaktiviraju originalnu aktivnost pokretanja. Tehnička implementacija uključuje kreiranje aliasa aktivnosti sa atributom android:label postavljenim na praznu vrijednost i resursom prozirne ikonice. Ovakav pristup omogućava da maliciozna aplikacija ostane skrivena čak i nakon ponovnog pokretanja uređaja, dok i dalje prikazuje nametljive oglase.
Pojedine varijante idu i korak dalje u obmanjivanju korisnika, imitirajući aplikacije same kompanije Google, koristeći modifikovane verzije ikone Play Store-a i brendiranja „Google Home“ kako bi izgledale kao legitimne sistemske komponente. Infrastruktura za komandu i kontrolu ove operacije pokazuje izuzetnu sofisticiranost, pri čemu svaka maliciozna aplikacija komunicira putem jedinstvenih domena koje slijede dosljedan obrazac. Te domene koriste naizgled nasumične engleske riječi kako bi prikrile informacije o uređaju tokom mrežne komunikacije, što bezbjednosnim istraživačima značajno otežava detekciju i analizu.
Kompanija Google je od tada uklonila sve identifikovane IconAds aplikacije iz Play Store-a, a korisnici sa omogućenim Google Play Protectom dobijaju automatsku zaštitu od ovakvih prijetnji. Ovo otkriće dodatno naglašava kontinuiranu evoluciju prevara u mobilnom oglašavanju i potrebu za stalnom budnošću kada je riječ o bezbjednosti prodavnica aplikacija.
