このキャンペーンは、ロシア語でキャンディを意味する「Konfety」とコードネームが付けられています。これは、ロシアに拠点を置く広告ネットワークであるCaramelAdsに関連するモバイル広告ソフトウェア開発キット(SDK)の悪用に由来します。
「Konfetyは、主要なマーケットプレイスで利用可能なデコイ双子アプリの『悪い双子』バージョンを運用する脅威アクターによる新しい形態の詐欺と難読化を表しています」と、HUMANのSatori Threat Intelligence TeamはHacker Newsと共有した技術レポートで述べています。
デコイアプリは、合計で250以上の数があり、Google Playストアを通じて配布されていますが、対応する「悪い双子」はアドフラウドを助長するためのマルバタイジングキャンペーンを通じて拡散され、ウェブ検索の監視、ブラウザ拡張機能のインストール、およびユーザーのデバイスにAPKファイルコードをサイドロードするために使用されます。
このキャンペーンの最も珍しい側面は、悪い双子がデコイ双子になりすまして、後者のアプリIDおよび広告パブリッシャーIDを偽装して広告を表示することです。デコイアプリと悪い双子アプリの両方は同じインフラストラクチャで運用されており、脅威アクターが必要に応じてその操作を指数関数的に拡大することを可能にしています。
それだけでなく、デコイアプリは正常に動作し、多くの場合、広告さえ表示しません。また、GDPR同意通知も組み込んでいます。
「この『デコイ/悪い双子』の難読化メカニズムは、脅威アクターが不正なトラフィックを正当なものとして表示するための新しい方法です」とHUMANの研究者は述べています。「最盛期には、Konfety関連のプログラマティックボリュームは1日に100億件のリクエストに達しました。」
言い換えれば、KonfetyはSDKの広告表示機能を利用してアドフラウドを行い、不正なトラフィックを正当なトラフィックから区別することを非常に難しくしています。
Konfetyの悪い双子アプリは、APKモッズやLetasoft Sound Boosterなどのソフトウェアを宣伝するマルバタイジングキャンペーンを通じて広められ、罠のURLは攻撃者が管理するドメイン、WordPressサイト、Docker Hub、Facebook、Google Sites、OpenSeaなどのコンテンツアップロードを許可するプラットフォームでホストされています。
これらのURLをクリックしたユーザーは、悪意のある悪い双子アプリをダウンロードするように誘導され、そのアプリはAPKファイルのアセットから暗号化された最初のステージのドロッパーとして機能し、コマンド&コントロール(C2)通信を確立します。
最初のステージはさらに、デバイスのホーム画面からアプリアイコンを隠す試みを行い、ユーザーがホーム画面や他のアプリを使用している時にアウトオブコンテキストのフルスクリーンビデオ広告を提供する第二のステージDEXペイロードを実行します。
「Konfety作戦の核心は悪い双子アプリにあります」と研究者は述べています。「これらのアプリは、デコイ双子アプリのアプリID/パッケージ名およびパブリッシャーIDをコピーすることで対応するデコイ双子アプリを模倣しています。」
「悪い双子アプリから派生したネットワークトラフィックは、デコイ双子アプリから派生したネットワークトラフィックと機能的に同一です。悪い双子が表示する広告のインプレッションは、リクエスト内でデコイ双子のパッケージ名を使用します。」
マルウェアの他の機能には、CaramelAds SDKを武器化してデフォルトのウェブブラウザを使用してウェブサイトを訪問すること、偽のリンクをクリックさせる通知を送信すること、または他の広告SDKの修正バージョンをサイドロードすることが含まれます。
それだけではありません。Evil Twinsアプリをインストールするユーザーは、デバイスのホーム画面に検索ツールバーウィジェットを追加するよう促され、検索データをvptrackme[.]comおよびyouaresearching[.]comというドメインに送信することで検索を監視します。
「脅威アクターは、ストアに悪意のあるアプリをホストすることが安定した手法ではないことを理解しており、検出を回避して長期的に持続可能な詐欺を行うための創造的で巧妙な方法を見つけています」と研究者は結論付けています。「アクターが仲介SDK会社を設立し、高品質のパブリッシャーを悪用するためにSDKを広める手法は増加しています。」