Una compleja red de fraude publicitario móvil conocida como IconAds ha sido desarticulada, revelando un ecosistema de más de 352 aplicaciones Android maliciosas que operaban con tácticas altamente sofisticadas para generar ingresos publicitarios ilegítimos. Según un informe de HUMAN’s Satori Threat Intelligence Team, estas aplicaciones cargaban anuncios fuera de contexto en los dispositivos de los usuarios y ocultaban sus íconos del lanzador, lo que dificultaba su identificación y eliminación.
Estas apps han sido eliminadas de Google Play Store, pero su impacto fue considerable: llegaron a generar hasta 1.200 millones de solicitudes de anuncios por día, principalmente desde Brasil, México y Estados Unidos.
Cómo operaba IconAds: manipulación y persistencia
IconAds es una evolución de amenazas previamente identificadas como HiddenAds y Vapor, activas desde al menos 2019. Las aplicaciones implementaban múltiples técnicas de ofuscación, ocultaban información de los dispositivos, y usaban alias para reemplazar la actividad MAIN/LAUNCHER, de modo que su ícono desaparecía del escritorio, persistiendo incluso tras reiniciar el sistema.
Además, algunas versiones se hacían pasar por Google Play Store, redirigiendo al usuario a la app legítima mientras la actividad maliciosa se ejecutaba en segundo plano. HUMAN también documentó nuevas variantes que incorporan chequeos para verificar si la instalación se realizó desde Play Store y agregan capas adicionales de ofuscación para evadir análisis dinámicos.
Kaleidoscope: el gemelo malvado del fraude publicitario
En paralelo, el IAS Threat Lab expuso Kaleidoscope, una operación adaptable de fraude publicitario basada en la técnica del «gemelo malvado«. Esta consiste en crear dos versiones casi idénticas de una app: una versión legítima alojada en Google Play y otra maliciosa distribuida por tiendas de terceros o sitios falsos.
El gemelo malicioso despliega anuncios intersticiales intrusivos, incluso sin interacción del usuario, suplantando la ID de aplicación del gemelo benigno. Kaleidoscope es una evolución del esquema anterior llamado Konfety, que empleaba el framework CaramelAds SDK, actualmente reemplazado por variantes como Leisure, Raccoon y Adsclub.
Los datos de ESET indican que Kaleidoscope afecta especialmente a regiones como América Latina, Turquía, Egipto e India, donde proliferan tiendas de aplicaciones de terceros.
Del fraude publicitario al fraude financiero mediante NFC
El ecosistema Android también es blanco de ataques financieros, como los perpetrados por los malware NGate y SuperCard X, que explotan la tecnología NFC (Near Field Communication) para clonar transacciones y retirar dinero de cajeros automáticos de forma remota. Estos ataques han sido detectados en países como Rusia, Italia, Alemania y Chile.
NGate inspiró una técnica aún más avanzada conocida como Ghost Tap, donde los atacantes registran tarjetas robadas en billeteras digitales como Google Pay o Apple Pay, y realizan pagos sin contacto utilizando móviles comprometidos. Esta técnica permite eludir controles de seguridad y realizar transacciones fraudulentas a nivel global.
Qwizzserial: ladrón de SMS dirigido a Uzbekistán
Otro frente de ataque es el malware Qwizzserial, una amenaza recientemente descubierta por Group-IB que ya ha infectado a casi 100.000 dispositivos Android, principalmente en Uzbekistán. El malware intercepta mensajes SMS con códigos 2FA, recolecta datos bancarios y los envía a los atacantes mediante bots de Telegram.
Este troyano se propaga mediante archivos APK distribuidos a través de canales de Telegram que se hacen pasar por entidades gubernamentales. Los usuarios, al confiar en la supuesta fuente oficial, instalan las apps y otorgan permisos de acceso a SMS y llamadas.
Nuevas variantes del malware han adoptado técnicas para evitar la optimización de batería, permitiendo su ejecución constante en segundo plano. También se ha reemplazado la exfiltración directa por Telegram con envíos vía HTTP POST a servidores remotos.
Malware disfrazado de apps populares: SparkKitty y SpyMax
Más allá de IconAds y Kaleidoscope, otras campañas apuntan a usuarios móviles en Asia. Investigadores de Kaspersky han identificado una operación que involucra a SparkKitty, un troyano que afecta tanto a Android como a iOS. Las apps maliciosas, como 币coin y SOEX, fueron retiradas de las tiendas oficiales, pero aún circulan en sitios web falsos que imitan páginas de descarga.
SparkKitty es considerado sucesor de SparkCat, y ambos utilizan reconocimiento óptico de caracteres (OCR) para buscar frases semilla de billeteras cripto dentro de imágenes robadas del dispositivo infectado. Su actividad parece centrarse en países del sudeste asiático y China.
En India, campañas similares utilizan invitaciones falsas de boda enviadas por WhatsApp y Telegram para distribuir SpyMax RAT (SpyNote), que permite el control total del dispositivo y la exfiltración de datos sensibles.
Una amenaza en constante evolución
El ecosistema Android sigue siendo blanco prioritario de redes criminales que utilizan desde técnicas de ocultamiento publicitario hasta ingeniería social, suplantación de tiendas oficiales y explotación de tecnologías como NFC. Campañas como IconAds, Kaleidoscope o Qwizzserial muestran cómo los atacantes no solo buscan ingresos publicitarios, sino también fraudes financieros de gran escala.
La protección de los usuarios requiere mayor vigilancia, tanto de los proveedores de aplicaciones como de los usuarios finales, quienes deben evitar descargar aplicaciones fuera de tiendas oficiales, revisar los permisos que otorgan y contar con herramientas de seguridad móvil actualizadas.
Fuente: The Hacker News
