Cibercriminosos: empresas de Internet móvel cometem fraudes de anúncios no Android e suários do iOS

Cibercriminosos: empresas de Internet móvel cometem fraudes de anúncios no Android e suários do iOS

27 de junho de 2019 Off Por Suporte Rede Digital

Rastreamento de tráfego da web foi empregado pela primeira vez para determinar a popularidade dos sites, mas com o crescimento da internet e advento de aplicativos móveis, o tráfego se tornou um negócio dentro de si. Isso também deu origem à criação de esquemas de fraudes de publicidade que enganam os usuários e os redirecionam para sites falsos para roubar seus dados e informações pessoais.

Acontece que não apenas criminosos cibernéticos, mas empresas bem conhecidas também têm usado o tráfego para ganhar dinheiro ilegítimo. A Kochava, uma empresa de análise e atribuição de aplicativos, descobriu duas empresas – Cheetah Mobile, uma empresa chinesa listada na Bolsa de Valores de Nova York e Kika Tech, sediada no Vale do Silício – alegando ilegalmente a taxa de instalação dos aplicativos quando não jogaram função na instalação de um aplicativo. A prática empregada por Cheetah e Kika é chamada de click flooding ou click injection. 

Muitos desenvolvedores de aplicativos pagam uma recompensa – normalmente variando de 50 cents a US $ 3 – para empresas ou parceiros que podem ajudar a impulsionar novas instalações de seus aplicativos. Geralmente, os geradores de anúncios são pagos quando um usuário clica em um anúncio criado para um aplicativo e o instala e abre, o que leva o desenvolvedor de aplicativos a pagar a rede de anúncios. A atribuição de instalação do aplicativo, que levou à instalação de um aplicativo em um telefone específico, nesses casos é difícil de ser feita com precisão.

Quando o aplicativo é aberto a partir do dispositivo em que está instalado, o aplicativo cria um lookback para ver de onde veio o último clique e atribui a instalação. O BuzzFeed News citou a pesquisa de Kochava que encontrou Cheetah e Kika (Cheetah é um dos maiores investidores em Kika) usando este sistema de atribuição para garantir que recebessem o último clique.

Vários aplicativos da Cheetah e da Kika, com um total de mais de 2 bilhões de downloads na Google Play Store, abusam das permissões dos usuários como parte deste esquema de fraude de anúncios que poderia ter roubado milhões de dólares, informou o BuzzFeed News na segunda-feira .

Em outro esquema de fraude de anúncios, um grupo cibercriminoso chamado ScamClub sequestrou mais de 300 milhões de sessões de navegadores – o tempo de comunicação entre dois sistemas, normalmente um dispositivo de computação pessoal e um servidor – por mais de 48 horas para redirecionar usuários a sites adultos e golpes de cartão presente.

Os criminosos implantaram propagandas maliciosas ou carregadas de malware em sites legítimos que redirecionavam os usuários por meio de vários sites temporários que acabaram forçando golpes com temática adulta e com cartões-presente. Esse processo empregado pelos criminosos é chamado malvertising. 

Os anúncios carregados de malware foram criados para se parecerem com anúncios de aplicativos Android legítimos, mas foram projetados para enganar os usuários de iOS dos EUA com a intenção de coletar seus dados pessoais e financeiros com essas ofertas.

Embora o malvertising venha afetando a Internet há muitos anos, o sequestro deste grupo cibernético se destacou devido ao número de sessões de navegadores afetados, informou a ZDNet na terça-feira, citando Jerome Dang, diretor de tecnologia e co-fundador da Confiant, uma empresa de segurança cibernética. empresa.

Confiant descobriu pela primeira vez os movimentos do ScamClub em agosto, enquanto investigava o golpe de malvertising. 57% dos clientes da Confiant foram afetados durante as 48 horas em que a malvertising foi implantada pelos cibercriminosos. Dang disse que descobriu um “pico enorme” em 12 de novembro em seu sistema de coleta de dados, quando é quando o seqüestro provavelmente teria ocorrido.

“A diferença é o volume. Uma das razões para o pico de 12 de novembro é que eles conseguiram acessar uma troca de anúncios muito grande. Anteriormente, eles só tinham acesso a redes de anúncios de reputação inferior que limitavam sua visibilidade em websites premium” disse ZDNet.

Dang não revelou o nome da troca de anúncios envolvida, mas disse que a troca havia removido o anúncio malicioso em 12 de novembro. No entanto, ScamClub ainda continuou a seqüestrar as sessões de navegação dos usuários desde que os criminosos já haviam implantado um código dentro dos anúncios. Esse código permitia que os anúncios mal-intencionados não ativassem os redirecionamentos mal-intencionados quando estavam sendo analisados, portanto, impedindo que muitos fornecedores de segurança sinalizassem os domínios (no final dessas cadeias de redirecionamento) como mal-intencionados.

“Continuamos a ver a atividade, na escala de 300 mil acessos por dia, para que o invasor ainda esteja ativo, mas voltando às redes habituais de publicidade com menor visibilidade. Esperamos que eles continuem ativos no futuro previsível”, disse Dang. disse ZDNet.