La frode Konfety: Analisi di una campagna Evil Twin

Recentemente, è emersa una nuova operazione di frode pubblicitaria chiamata Konfety, che ha attirato l’attenzione degli esperti di sicurezza informatica. Questa operazione sfrutta un metodo noto come “evil twin” per condurre attività fraudolente, abusando di un kit di sviluppo software (SDK) pubblicitario fornito dalla rete pubblicitaria russa CaramelAds.

Come funziona la frode Konfety

L’operazione Konfety utilizza l’SDK per richiedere e visualizzare annunci pubblicitari, caricare file APK aggiuntivi e comunicare con server di comando e controllo C2. Sebbene l’SDK di per sé non sia intrinsecamente dannoso, è stato sfruttato da attori malevoli per eseguire queste attività fraudolente.

Gli autori della minaccia hanno abusato dell’SDK CaramelAds per creare simultaneamente una versione semplificata dell’SDK senza il consenso del GDPR per produrre gli Evil Twin [cloni malevoli], che generano fraudolentemente annunci utilizzando gli account degli editori dalle app del Google Play Store.”, Spiega il Team Satori Threat Intelligence di HUMAN, “I truffatori hanno creato questi “gemelli malvagi” in grandi numeri, cosa mai vista prima, e hanno infettato gli utenti tramite malvertising, click-baiting e attacchi drive-by“.

I ricercatori Satori avrebbero identificato più di 250 app esca sul Play Store di Google associate a Konfety (decoy twin). Ciascuna di queste app pur non commettendo nessuna attività fraudolenta avrebbe un gemello malvagio corrispondente, diffuso e distribuito in marketplace non ufficiali (evil twin).

Fonte HUMAN

Una volta scaricata da una fonte terza e installata, l’app gemella malvagia finge di essere l’app gemella esca falsificando l’ID dell’app e gli ID dell’editore pubblicitario allo scopo di richiedere e visualizzare annunci pubblicitari.

Implicazioni e rischi

Le implicazioni di questa frode sono significative. Le aziende che investono in pubblicità online potrebbero vedere ridurre l’efficacia delle proprie campagne. Inoltre, gli utenti finali potrebbero essere esposti a rischi di sicurezza, poiché i file APK “gemelli” potrebbero contenere malware o altre minacce.

Prevenzione e mitigazione

Per contrastare operazioni come Konfety, è essenziale che le aziende adottino misure di sicurezza avanzate e collaborino con esperti di sicurezza informatica. Monitorare costantemente le attività pubblicitarie e utilizzare strumenti di rilevamento delle frodi può aiutare a identificare e bloccare attività sospette prima che causino danni significativi.

In conclusione, la frode Konfety rappresenta una minaccia emergente nel panorama della sicurezza informatica.

Questo meccanismo di “decoy/evil twin” per l’offuscamento è un modo innovativo per gli attori della minaccia di rappresentare il traffico fraudolento come legittimo“, precisa Satori nel rapporto.

La consapevolezza e la preparazione sono fondamentali per proteggere sia le aziende che gli utenti finali da queste sofisticate operazioni fraudolente.

Google Play Protect fa sapere che avvisa gli utenti e disattiva le app identificate come app “Evil Twin”.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.