Một chiến dịch gian lận quảng cáo trên di động với tên gọi IconAds, bao gồm 352 ứng dụng Android, đã bị triệt phá.

Các ứng dụng này được thiết kế để tải các quảng cáo không phù hợp trên màn hình của người dùng và ẩn biểu tượng của chúng khỏi trình khởi chạy màn hình chính, gây khó khăn cho việc gỡ cài đặt. Các ứng dụng này đã bị Google gỡ khỏi Play Store.

Vào thời kỳ đỉnh điểm, chương trình gian lận quảng cáo này tạo ra 1,2 tỷ yêu cầu đấu giá mỗi ngày. Phần lớn lưu lượng truy cập liên quan đến IconAds đến từ Brazil, Mexico và Hoa Kỳ.

IconAds là một biến thể của mối đe dọa cũng được theo dõi bởi các nhà cung cấp an ninh mạng khác dưới tên gọi HiddenAds và Vapor. Các ứng dụng độc hại này liên tục vượt qua Google Play Store kể từ ít nhất năm 2019.

Một số đặc điểm chung của các ứng dụng này bao gồm việc sử dụng kỹ thuật che giấu thông tin thiết bị trong quá trình liên lạc mạng, một mẫu đặt tên chung cho các tên miền command-and-control (C2) và khả năng thay thế hoạt động MAIN/LAUNCHER mặc định bằng cách khai báo một bí danh.

Điều này có nghĩa là khi ứng dụng được cài đặt, tên và biểu tượng mặc định sẽ được hiển thị, nhưng ngay sau khi ứng dụng chạy, bí danh hoạt động được khai báo trên bản kê khai sẽ hoạt động và tồn tại ngay cả sau khi khởi chạy lại ứng dụng hoặc khởi động lại thiết bị.

Hành vi này khiến tên và biểu tượng của ứng dụng bị ẩn khỏi màn hình chính, gây khó khăn cho việc gỡ cài đặt. Mục tiêu cuối cùng của các ứng dụng này là tải các quảng cáo xen kẽ, bất kể ứng dụng nào đang hoạt động, làm gián đoạn trải nghiệm người dùng.

Một số biến thể của ứng dụng IconAds được phát hiện mạo danh Google Play Store (hoặc sử dụng các biểu tượng và tên ứng dụng liên quan đến Google khác) thay vì che giấu chúng. Nhấp vào ứng dụng sẽ chuyển hướng nạn nhân đến ứng dụng chính thức, trong khi hoạt động độc hại diễn ra ở chế độ nền.

Một số bổ sung mới khác được tích hợp vào các lần lặp lại mới của các ứng dụng độc hại là kiểm tra giấy phép để xác định xem ứng dụng có được cài đặt từ Play Store hay không và dừng hoạt động độc hại nếu ứng dụng được tải xuống để tránh bị phát hiện trong quá trình phân tích, cũng như có nhiều lớp che giấu hơn để chống lại phân tích động.

Nhiều ứng dụng liên quan đến IconAds có thời gian tồn tại ngắn trước khi bị xóa khỏi Play Store. Các nhà nghiên cứu dự kiến ​​sẽ tiếp tục thích ứng, với các ứng dụng mới được xuất bản và các kỹ thuật che giấu mới được thêm vào.

Thông tin này được đưa ra khi IAS Threat Lab tiết lộ một hoạt động gian lận quảng cáo “xảo quyệt” khác có tên Kaleidoscope sử dụng kỹ thuật “evil twin”, trong đó “các ứng dụng có vẻ hợp pháp được lưu trữ trên Google Play như một mặt tiền lừa đảo, trong khi các đối tác trùng lặp độc hại của nó, được phân phối chủ yếu thông qua các cửa hàng ứng dụng của bên thứ ba, thúc đẩy nguồn cung quảng cáo gian lận.”

Kaleidoscope là một sự phát triển của Konfety, một chương trình gian lận quảng cáo tương tự xoay quanh các ứng dụng nhúng một framework quảng cáo có tên CaramelAds SDK. Các ứng dụng được xác định gần đây đã xóa các tham chiếu đến CaramelAds và bao gồm chức năng cốt lõi vào các SDK bị thao túng khác dưới các tên khác nhau như Leisure, Raccoon và Adsclub.

Bản chất của hoạt động này là: Tội phạm mạng tạo ra hai phiên bản gần giống nhau của cùng một ứng dụng, một “decoy twin” vô hại có sẵn trên Google Play và một “evil twin” được phân phối thông qua các cửa hàng ứng dụng của bên thứ ba hoặc các trang web giả mạo. Ứng dụng “evil twin” sau đó tạo ra các quảng cáo xâm nhập, không mong muốn để kiếm doanh thu quảng cáo một cách gian lận.

Theo dữ liệu đo từ xa từ ESET trong khoảng thời gian từ tháng 12 năm 2024 đến tháng 5 năm 2025, Kaleidoscope tác động đến một số lượng lớn người dùng Android trên toàn thế giới, bị ảnh hưởng nhiều nhất là Mỹ Latinh, Thổ Nhĩ Kỳ, Ai Cập và Ấn Độ do sự phổ biến của các cửa hàng ứng dụng của bên thứ ba ở các khu vực này.

Hoạt động phần mềm quảng cáo khởi động khi người dùng vô tình cài đặt các ứng dụng “evil twin”, dẫn đến quảng cáo xâm nhập và giảm hiệu suất thiết bị. Nhưng vì quảng cáo được phân phối thông qua các ứng dụng copycat, nên nó đánh lừa các nhà quảng cáo trả tiền cho những kẻ gian lận để xem quảng cáo bất hợp pháp.

“Chiến lược kiếm tiền chính trong chương trình này dựa trên các bản sao độc hại được phân phối thông qua các cửa hàng ứng dụng của bên thứ ba, trong đó ID ứng dụng lành tính bị khai thác bởi một đối tác độc hại để tạo ra các hiển thị quảng cáo và thúc đẩy doanh thu,” IAS cho biết. “Ứng dụng độc hại cung cấp các quảng cáo ngoài ngữ cảnh xâm nhập dưới vỏ bọc của ID ứng dụng lành tính dưới dạng hình ảnh và video xen kẽ toàn màn hình, được kích hoạt ngay cả khi không có sự tương tác của người dùng.”

Một phần đáng kể trong việc kiếm tiền của Kaleidoscope đã được truy tìm trở lại một công ty Bồ Đào Nha có tên Saturn Dynamic, công ty này tuyên bố cung cấp một cách để “kiếm tiền từ quảng cáo hiển thị và video.”

Các thiết bị Android cũng đã bị tấn công từ nhiều họ phần mềm độc hại khác nhau như NGate và SuperCard X, lạm dụng công nghệ Giao tiếp trường gần (NFC) để thực hiện gian lận tài chính bằng các kỹ thuật chuyển tiếp sáng tạo cho phép các tín hiệu NFC từ thẻ thanh toán của nạn nhân được chuyển qua điện thoại bị xâm nhập đến các thiết bị do kẻ tấn công kiểm soát, cho phép tội phạm rút tiền mặt từ các máy ATM từ xa.

Các chiến dịch phần mềm độc hại trên thiết bị di động tận dụng các chương trình độc hại này đã tuyên bố lây nhiễm thành công trên khắp Nga, Ý, Đức và Chile.

NGate cũng là nguồn cảm hứng cho một kỹ thuật dựa trên NFC khác được gọi là Ghost Tap, liên quan đến việc những kẻ tấn công sử dụng dữ liệu thẻ bị đánh cắp để đăng ký chúng trong ví kỹ thuật số của riêng họ như Google Pay và Apple Pay. Các ví đã tải sau đó được chuyển tiếp để thực hiện các khoản thanh toán không tiếp xúc gian lận ở bất kỳ đâu trên thế giới.

“Những kẻ tấn công Ghost Tap tạo ra các giao dịch gian lận bằng cách chạm các thiết bị di động bị xâm nhập vào các thiết bị đầu cuối thanh toán hỗ trợ NFC,” ESET lưu ý. “Các giao dịch này có vẻ hợp pháp, bỏ qua các kiểm tra bảo mật truyền thống và cho phép tội phạm rút tiền nhanh chóng.”

Các phát hiện trùng hợp với việc phát hiện ra một chiến dịch phần mềm độc hại Android mới đang phân phối một phần mềm đánh cắp SMS chưa được xác định trước đây có tên Qwizzserial đã lây nhiễm gần 100.000 thiết bị, chủ yếu ở Uzbekistan. Thiệt hại tài chính ước tính ít nhất là 62.000 đô la trong khoảng thời gian từ tháng 3 đến tháng 6 năm 2025.

Được Group-IB phát hiện lần đầu tiên vào tháng 3 năm 2024, phần mềm độc hại này được thiết kế để thu thập danh sách các ứng dụng tài chính đã cài đặt, chặn mã SMS xác thực hai yếu tố (2FA) và lọc chi tiết cho những kẻ tấn công thông qua bot Telegram.

Ngụy trang dưới dạng các ứng dụng ngân hàng và dịch vụ chính phủ hợp pháp, Qwizzserial chủ yếu được phân phối dưới dạng tệp APK trên các kênh Telegram giả mạo tuyên bố là các tổ chức và quan chức chính phủ. Nói một cách đơn giản, các cuộc tấn công lạm dụng lòng tin của người dùng vào các dịch vụ chính phủ để lừa họ cài đặt các ứng dụng.

Telegram cũng là trung tâm của hoạt động này ở chỗ các bot do những kẻ đe dọa điều hành được sử dụng để tự động hóa quá trình tạo các ứng dụng độc hại được sử dụng để phân phối. Các kênh khác dành riêng cho các cuộc trò chuyện nhóm nội bộ và đưa ra thông báo liên quan đến thu nhập do các thành viên khác nhau tạo ra.

Sau khi cài đặt, các ứng dụng yêu cầu người dùng cấp cho nó quyền truy cập vào tin nhắn SMS và cuộc gọi điện thoại. Sau đó, người dùng được nhắc nhập hai số điện thoại và số thẻ ngân hàng của họ cùng với ngày hết hạn, sau đó thông tin đã nhập sẽ được gửi cho những kẻ tấn công thông qua Telegram bot API.

Là một phần trong bước thu thập SMS, Qwizzserial sử dụng các mẫu biểu thức chính quy để tìm kiếm các tin nhắn liên quan đến số dư tài khoản ngân hàng và những tin nhắn đề cập đến một khoản tiền vượt quá 500.000 UZS (39 đô la).

Các mẫu mới hơn của phần mềm độc hại cũng đã được tìm thấy yêu cầu người dùng tắt các hạn chế tối ưu hóa pin, do đó cho phép nó chạy ở chế độ nền mà không cần bất kỳ sự can thiệp nào. Một thay đổi khác là dữ liệu thu thập được truyền đến một máy chủ bên ngoài bằng các yêu cầu HTTP POST thay vì gửi trực tiếp đến Telegram API.

Công ty an ninh mạng Singapore cho biết: “Phần mềm đánh cắp SMS gây ra mối đe dọa nghiêm trọng ở Uzbekistan, vì SMS vẫn là kênh chính để tương tác với người dùng cuối”. “Các hệ thống thanh toán địa phương dựa vào SMS để cung cấp mã xác thực hai yếu tố (2FA) để xác nhận.”

Không chỉ Qwizzserial. Trong những tháng gần đây, người dùng di động ở Ấn Độ đã bị nhắm mục tiêu bởi các thiệp mời đám cưới giả mạo truyền bá các tệp APK chứa đầy phần mềm độc hại thông qua WhatsApp và Telegram để cuối cùng triển khai SpyMax RAT (hay còn gọi là SpyNote) hoặc phần mềm gián điệp khác có thể thu thập dữ liệu nhạy cảm từ các thiết bị bị nhiễm.

Một chiến dịch khác được Kaspersky ghi lại bao gồm việc phân phối một trojan mới có tên SparkKitty, có khả năng nhắm mục tiêu cả thiết bị Android và iOS. Các ứng dụng vi phạm (币coin và SOEX) không còn có sẵn để tải xuống từ các cửa hàng ứng dụng tương ứng.

Bên ngoài Apple Store của Apple, phần mềm độc hại cũng được nhúng trong các bản sao TikTok đã sửa đổi được lưu trữ trên các trang web giả mạo mô phỏng các trang liệt kê ứng dụng. Để tạo điều kiện cài đặt thông qua vectơ này, các nhà phát triển phần mềm độc hại dựa vào một cấu hình cung cấp có sẵn thông qua Chương trình nhà phát triển của Apple để triển khai chứng chỉ trên iPhone của nạn nhân và đẩy ứng dụng mà không tải chúng lên App Store.

Công ty an ninh mạng Nga cho biết: “Mặc dù hầu hết các phiên bản của phần mềm độc hại này đánh cắp bừa bãi tất cả hình ảnh, nhưng chúng tôi đã phát hiện ra một cụm hoạt động độc hại liên quan sử dụng OCR [nhận dạng ký tự quang học] để chọn các hình ảnh cụ thể”.

SparkKitty, được đánh giá là hoạt động ít nhất là từ tháng 2 năm 2024, được cho là một người kế nhiệm có thể có của SparkCat, cũng sử dụng OCR để phát hiện các hình ảnh cụ thể chứa các cụm từ khôi phục ví.

Kaspersky cho biết: “Mặc dù chúng tôi nghi ngờ mục tiêu chính của những kẻ tấn công là tìm ảnh chụp màn hình các cụm từ hạt giống của ví tiền điện tử, nhưng các dữ liệu nhạy cảm khác cũng có thể có trong các hình ảnh bị đánh cắp”. “Đánh giá theo các nguồn phân phối, phần mềm gián điệp này chủ yếu nhắm mục tiêu đến người dùng ở Đông Nam Á và Trung Quốc.”

– Ad fraud (Gian lận quảng cáo): Một hành vi gian dối trong đó các nhà quảng cáo bị tính phí cho các quảng cáo không được xem bởi người thật hoặc không được hiển thị đúng cách.

– Command and Control (C2): Cơ sở hạ tầng mà hacker sử dụng để kiểm soát và điều khiển các thiết bị bị nhiễm malware.

– Evil Twin: Một bản sao độc hại của một ứng dụng hợp pháp, thường được sử dụng để lừa đảo người dùng và đánh cắp thông tin.

– Near-field communication (NFC): Công nghệ cho phép các thiết bị giao tiếp với nhau khi ở gần, thường được sử dụng cho thanh toán không tiếp xúc.

– SMS Stealer: Loại malware được thiết kế để đánh cắp tin nhắn SMS từ thiết bị bị nhiễm, thường được sử dụng để lấy mã xác thực hai yếu tố (2FA).

– Regular expression patterns (Biểu thức chính quy): Một chuỗi các ký tự định nghĩa một mẫu tìm kiếm, được sử dụng để khớp với các chuỗi ký tự trong văn bản.