Recentemente sono emersi dettagli su una vasta operazione di frode pubblicitaria che sfrutta centinaia di app presenti sul Google Play Store per compiere una serie di attività nefaste. Questa campagna, denominata Konfety, sfrutta un kit di sviluppo software per la pubblicità mobile associato a una rete pubblicitaria russa chiamata CaramelAds. La peculiarità della campagna Konfety risiede nella creazione di versioni "malvagie" di app gemelle "esca" disponibili nei principali marketplace.

Le app esca, oltre 250 in totale, sono innocue e distribuite tramite il Google Play Store. Tuttavia, le loro rispettive versioni malvagie vengono disseminate attraverso una campagna di malvertising progettata per facilitare la frode pubblicitaria, monitorare le ricerche web, installare estensioni del browser e caricare file APK sui dispositivi degli utenti. Il meccanismo di frode è ingegnoso: le app malvagie si mascherano come le versioni esca spoofando l'ID dell'app e gli ID del publisher pubblicitario per visualizzare annunci.

Il team di HUMAN's Satori Threat Intelligence ha rivelato che entrambe le serie di app, sia esca che malvagie, operano sulla stessa infrastruttura, permettendo agli autori delle minacce di scalare le loro operazioni esponenzialmente. Curiosamente, le app esca non solo si comportano normalmente, ma la maggior parte di esse non visualizza nemmeno annunci e include un avviso di consenso GDPR.

Konfety sfrutta le capacità di rendering degli annunci del SDK per commettere frode pubblicitaria, rendendo molto più difficile distinguere il traffico dannoso da quello legittimo. Le versioni malvagie delle app vengono propagate tramite una campagna di malvertising che promuove mod APK e altri software come Letasoft Sound Booster. Gli URL infetti vengono ospitati su domini controllati dagli attaccanti, siti WordPress compromessi e altre piattaforme che consentono il caricamento di contenuti, inclusi Docker Hub, Facebook, Google Sites e OpenSea.

Gli utenti che cliccano su questi URL vengono reindirizzati a un dominio che li induce a scaricare l'app malvagia, che a sua volta funge da dropper per una prima fase che viene decrittata dagli asset del file APK e utilizzata per stabilire comunicazioni di comando e controllo (C2). Il payload della seconda fase esegue frodi pubblicitarie visualizzando annunci video a schermo intero quando l'utente è sulla schermata principale o sta utilizzando un'altra app.

Le app malvagie imitano le app esca copiando i loro ID e nomi dei pacchetti, rendendo il traffico di rete derivato dalle app malvagie funzionalmente identico a quello delle app esca. Inoltre, il malware sfrutta il SDK di CaramelAds per visitare siti web utilizzando il browser predefinito e inviare notifiche che invitano gli utenti a cliccare su link fraudolenti.

Per mitigare i rischi posti da operazioni come Konfety, si raccomanda di scaricare app solo da store legittimi, assicurarsi che Google Play Protect sia abilitato ed essere cauti quando si clicca su link sospetti. Google ha dichiarato di monitorare attivamente le varianti delle app malvagie sullo store e di prendere misure per proteggere gli utenti.