Kampanja, nazvana Konfety (na ruskom kонфеты bombona), zloupotrebljava paket za razvoj softvera za mobilno oglašavanje (SDK) povezan sa ruskom oglasnom mrežom CaramelAds.
Iako su mamci aplikacije (njih preko 250) bezopasne i distribuiraju se preko Google Play prodavnice, njihovi „zli blizanci“, koji se distribuiraju preko oglasa, dizajnirani su da olakšaju prevaru sa oglasima, nadgledaju veb pretrage, instaliraju ekstenzije pregledača i učitavaju APK fajlove na uređaje korisnika.
Obe vrste aplikacija koriste istu infrastrukturu, omogućavajući prevarantima da eksponencijalno šire svoje operacije prema potrebi.
Mamci aplikacije se ponašaju normalno, većina njih čak i ne prikazuje reklame, a mnoge imaju obaveštenje o usklađenosti sa GDPR-om.
Ovaj mehanizam „mamac/zli blizanac“ predstavlja novi način da prevaranti predstave lažni saobraćaj kao legitiman.
Blizanačke aplikacije se šire kroz kampanju koja promoviše APK modove i druge softvere kao što je Letasoft Sound Booster, sa URL-ovima koji se nalaze na domenima pod kontrolom napadača, kompromitovanim WordPress sajtovima i drugim platformama kao što su Docker Hub, Facebook, Google Sites i OpenSea.
Korisnici koji kliknu na ove URL-ove bivaju preusmereni na domen na kojem će biti prevareni da preuzmu zlonamernu blizanačku aplikaciju, koja funkcioniše kao dropper i koristi se za uspostavljanje komunikacije sa serverom.
Ikona aplikacije se uklanja sa početnog ekrana uređaja, a pokreće se malver druge faze napada koji prikazuje video reklame preko celog ekrana van konteksta, kada je korisnik na početnom ekranu ili koristi drugu aplikaciju.
„Suština operacije Konfety leži u zlim aplikacijama blizancima“, rekli su istraživači. „Ove aplikacije oponašaju odgovarajuće aplikacije mamce kopiranjem njihovih ID-ova aplikacija/imena paketa i ID-ova izdavača.“
„Mrežni saobraćaj izveden iz aplikacija koje su zli blizanci je funkcionalno identičan mrežnom saobraćaju izvedenom iz aplikacija mamaca; prikazi oglasa koje prikazuju zli blizanci koriste naziv paketa aplikacija mamaca u zahtevu.“
Ove aplikacije su odgovorne i za posete veb sajtovima preko podrazumevanog veb pregledača, slanje obaveštenja koja korisnike podstiču da kliknu na linkove, ili bočno učitavanje modifikovanih verzija drugih oglasnih SDK-ova.
Korisnici se podstiču da dodaju vidžet sa alatkama za pretragu na početni ekran uređaja, koji potajno nadgleda njihove pretrage, piše It mixer.
Istraživači kažu da prevaranti očigledno „pronalaze kreativne i pametne načine da izbegnu otkrivanje i počine održivu dugoročnu prevaru“.
S druge strane, Google kaže da prati različite varijacije blizanačkih aplikacija i preduzima korake da zaštiti korisnike od ove pretnje. Prema Google-u, korisnici su više od godinu dana zaštićeni od ovakvih aplikacija pomoću Google Play Protecta, koji je podrazumevano uključen na Android uređajima sa Google Play Services, upozorava korisnike i onemogućava aplikacije za koje je ustanovljeno da su aplikacije „zli blizanci“.