IconAds、Kaleidoscope、短信恶意软件、NFC诈骗

据HUMAN最新报道，一项名为IconAds的移动广告欺诈行动已被挫败，该行动涉及 352 个 Android 应用程序。

据该公司 Satori 威胁情报与研究团队称，这些被识别的应用程序会在用户屏幕上加载与上下文无关的广告，并在设备主屏幕启动器中隐藏其图标，使受害者更难将其移除。谷歌已将这些应用从 Play 商店下架。

该广告欺诈计划在其活动高峰期每天产生12亿个竞价请求。与IconAds相关的流量绝大多数来自巴西、墨西哥和美国。

值得注意的是，IconAds 是其他网络安全供应商以HiddenAds和Vapor为名追踪的威胁的一种变体，自 2019 年以来，这些恶意应用程序就多次从 Google Play 商店中逃脱。

这些应用程序的一些共同特征包括在网络通信期间使用混淆来隐藏设备信息、用于命令和控制 (C2) 域的一组命名模式，以及通过声明别名来替换默认的 MAIN/LAUNCHER 活动的能力。

HUMAN 表示：“这意味着，当应用程序安装时，将显示默认标签名称和图标，但只要应用程序运行，清单上声明的活动别名就会处于活动状态，并且即使在重新启动应用程序或重新启动设备后也会持续存在。”

这种行为会导致应用的名称和图标在主屏幕上被隐藏，从而阻止用户轻松卸载。这些应用的最终目的是加载插页式广告，无论哪个应用处于活动状态，这实际上会破坏用户体验。

一些 IconAds 应用变种被发现会冒充 Google Play 商店（或使用其他与 Google 相关的应用程序图标和名称），而不是隐藏它们。点击该应用会将受害者重定向到官方应用，而恶意活动则在后台进行。

恶意应用程序新版本中还新增了一些功能，包括检查应用程序是否从 Play Store 安装，以及采用更多层混淆技术来抵御动态分析。

HUMAN 研究人员表示：“许多与 IconAds 相关的应用在被 Play 商店下架之前，其上架时间都很短。随着这种威胁的多次演变，研究人员预计它会持续发展，不断发布新的应用，并添加新的混淆技术。”

与此同时，IAS Threat Lab 还曝光了另一起名为 Kaleidoscope 的“阴险自适应”广告欺诈行为，该行为采用了邪恶双胞胎技术，即“在 Google Play 上托管看似合法的应用程序作为欺骗性的门面，而其恶意的重复应用程序主要通过第三方应用商店分发，从而推动欺诈性广告供应。”

Kaleidoscope 是Konfety的演变版本，后者是一种类似的广告欺诈手段，其核心在于嵌入名为 CaramelAds SDK 的广告框架的应用程序。新发现的应用程序已删除了对 CaramelAds SDK 的引用，并将其核心功能嵌入到其他被操纵的 SDK 中，并以 Leisure、Raccoon 和 Adsclub 等不同名称进行命名。

此类操作的本质是：网络犯罪分子会为同一款应用创建两个几乎完全相同的版本：一个在 Google Play 上提供无害的“诱饵版本”，另一个通过第三方应用商店或虚假网站分发的“邪恶版本”。“邪恶版本”会生成侵入性的、不受欢迎的广告，以欺诈手段赚取广告收入。

根据ESET 在 2024 年 12 月至 2025 年 5 月期间的遥测数据，Kaleidoscope 影响了全球大量 Android 用户，其中受影响最严重的是拉丁美洲、土耳其、埃及和印度，因为这些地区的第三方应用商店很受欢迎。

当用户无意中安装“邪恶双胞胎”应用程序时，广告软件活动就会启动，导致侵入性广告和设备性能下降。但由于这些广告是通过山寨应用程序投放的，它会诱骗广告商向欺诈者支付非法广告观看费用。

IAS表示： “该骗局的主要盈利策略依赖于通过第三方应用商店分发恶意复制品，恶意对手利用良性应用 ID 来产生广告印象并增加收入。恶意应用会伪装成良性应用 ID，以全屏插播图片和视频的形式投放侵入性的、脱离上下文的广告，甚至无需用户交互即可触发。”

Kaleidoscope 的大部分盈利来源可以追溯到一家名为 Saturn Dynamic 的葡萄牙公司，该公司声称提供了一种“将展示广告和视频货币化”的方法。

从广告欺诈到金融欺诈#

Android 设备还受到了NGate 和 SuperCard X 等各种恶意软件家族的攻击，这些恶意软件滥用近场通信 (NFC) 技术，使用创造性的中继技术进行金融欺诈，这些技术允许受害者支付卡的 NFC 信号通过受感染的手机路由到攻击者控制的设备，使犯罪分子能够远程从 ATM 提取现金。

利用这些恶意程序的移动恶意软件活动已成功感染俄罗斯、意大利、德国和智利。

NGate 也启发了另一种基于 NFC 的技术，即Ghost Tap。该技术利用窃取的银行卡数据，将卡信息注册到自己的数字钱包（例如 Google Pay 和 Apple Pay）中。这些已充值的钱包随后会被转发到世界各地进行欺诈性非接触式支付。

ESET 指出：“Ghost Tap 攻击者利用受感染的移动设备连接支持 NFC 的支付终端，从而进行欺诈性交易。这些交易看似合法，绕过了传统的安全检查，让犯罪分子得以快速套现。”

Android 短信窃取软件感染乌兹别克斯坦 10 万台设备#

这一发现与一项新的安卓恶意软件活动的发现相吻合，该活动正在传播一种名为 Qwizzserial 的此前未被识别的短信窃取程序，该程序已感染近 10 万台设备，主要感染地位于乌兹别克斯坦。据估计，2025 年 3 月至 6 月期间，造成的经济损失至少为 6.2 万美元。

该恶意软件于2024年3月首次由Group-IB发现，旨在收集已安装的金融应用程序列表，拦截双因素身份验证 (2FA) 短信代码，并通过 Telegram 机器人将详细信息泄露给攻击者。

Qwizzserial伪装成合法的银行应用程序和政府服务，主要以 APK 文件的形式在自称是政府机构和官员的虚假Telegram频道上传播。简而言之，这些攻击利用用户对政府服务的信任，诱骗他们安装这些应用程序。

Telegram也是此次行动的核心，威胁者使用其操作的机器人自动创建用于分发的恶意应用程序。其他频道则用于内部群聊，并发布与不同成员收入相关的公告。

安装后，该应用程序会请求用户授予其访问短信和电话的权限。然后，系统会提示用户输入两个电话号码、银行卡号以及有效期，之后输入的信息会通过Telegram 机器人API发送给攻击者。

作为短信收集步骤的一部分，Qwizzserial使用正则表达式模式来搜索与银行账户余额相关的消息以及提及金额超过500,000乌兹别克斯坦索姆（39 美元）的消息。

研究人员还发现，该恶意软件的较新样本会要求用户禁用电池优化限制，从而允许其在后台运行而无需任何干预。另一个变化是，收集的数据通过 HTTP POST 请求传输到外部服务器，而不是直接发送到 Telegram API。

这家新加坡网络安全公司表示：“短信窃取者对乌兹别克斯坦构成了严重威胁，因为短信仍然是与终端用户互动的主要渠道。当地支付系统依赖短信发送双因素身份验证 (2FA) 代码进行确认。”

不仅仅是Qwizzserial。近几个月来，印度的移动用户已成为虚假婚礼邀请函的攻击目标。这些邀请函通过WhatsApp和Telegram传播带有恶意软件的APK文件，最终部署SpyMax RAT（又名SpyNote）或其他间谍软件，从受感染的设备中捕获敏感数据。

卡巴斯基记录的另一项活动涉及传播一种名为SparkKitty的新木马，该木马可同时攻击Android和iOS设备。涉事应用程序（币币和SOEX）已无法在相应的应用商店下载。

除了苹果商店之外，该恶意软件还嵌入在经过修改的TikTok克隆版中，这些克隆版托管在模仿应用程序列表页面的虚假网站上。为了方便通过这种方式安装，恶意软件开发者依赖苹果开发者计划提供的配置文件，在受害者的iPhone上部署证书，并在无需上传到App Store的情况下推送应用程序。

这家俄罗斯网络安全公司表示：“虽然这种恶意软件的大多数版本都会不加区分地窃取所有图像，但我们发现了一个相关的恶意活动集群，它使用OCR[光学字符识别] 来挑选特定的图片。”

SparkKitty被评估为至少自2024年2月起活跃，被认为是SparkCat的可能继任者，也采用OCR来检测包含钱包恢复短语的特定图像。

卡巴斯基表示：“虽然我们怀疑攻击者的主要目标是找到加密钱包种子短语的截图，但被盗图片中也可能包含其他敏感数据。根据分发来源判断，该间谍软件主要针对东南亚和中国的用户。”