IAS expõe uma rede internacional de fraude publicitária que afeta 2,5 milhões de dispositivos por mês
A Integral Ad Science (IAS) revelou uma das operações de fraude publicitária móvel mais sofisticadas e persistentes dos últimos tempos. Sob o nome “Kaleidoscope”, o relatório do IAS Threat Lab identificou uma rede de apps maliciosas para Android que, disfarçadas de aplicações legítimas, geram receitas através de milhões de impressões publicitárias falsas. Estima-se que mais de 2,5 milhões de dispositivos novos sejam comprometidos todos os meses por estas apps, especialmente em regiões onde o uso de lojas alternativas de aplicações é mais comum.
‘Kaleidoscope’ destaca-se pela sua capacidade de evoluir continuamente e contornar os sistemas de deteção. Os agentes maliciosos por trás desta rede abandonaram o SDK original de fraude publicitária (CaramelAds) e migraram para novas versões com identidades encobertas, como Leisure, Raccoon e Adsclub. Embora os nomes mudem, o código, as funcionalidades e a arquitetura destes SDKs são praticamente idênticos, indicando que fazem parte de um mesmo sistema reempacotado.
Estes SDKs falsos foram concebidos para transmitir informação detalhada do dispositivo (como sistema operativo, operadora, localização e estado da VPN) para servidores de configuração, que depois devolvem instruções específicas para exibir anúncios, reconectar a outros servidores ou redirecionar para conteúdos publicitários de baixa qualidade.
Como operam as apps maliciosas?
Estas aplicações maliciosas apresentam-se frequentemente como clones funcionais de apps legítimas, muitas vezes com o mesmo ID de aplicação. Após a instalação (na sua maioria a partir de lojas de terceiros), executam práticas de fraude publicitária como:
Exibição de anúncios intersticiais intrusivos fora de contexto, sem qualquer interação do utilizador.
Utilização de técnicas de overlay para mostrar publicidade sobre outras aplicações.
Solicitação de permissões enganosas para aceder a notificações ou sobrepor conteúdo.
Envio de tráfego para websites de baixa qualidade, incluindo páginas com conteúdos adultos que solicitam permissões de notificação para continuar a impactar o utilizador.
Alguns destes anúncios permanecem ativos na barra de notificações do dispositivo mesmo depois de a app ser encerrada, garantindo uma presença publicitária constante.
Monetização encoberta e rede de distribuição
A investigação da IAS identificou que esta fraude é monetizada através de redes de revendedores pouco fiscalizadas, muitas das quais não verificam adequadamente a qualidade do inventário. Um ator importante neste ecossistema é a empresa portuguesa Saturn Dynamic (saturndynamic.pt), que atua como ponto central de distribuição para o tráfego fraudulento gerado por Kaleidoscope.
A análise de ficheiros app-ads.txt e sellers.json revelou padrões suspeitos: desenvolvedores com ficheiros inflacionados (com mais de 9.000 linhas) e duplicações sistemáticas, bem como sobreposições entre aplicações de diferentes desenvolvedores — o que sugere controlo centralizado.
A Saturn Dynamic está também associada a websites de pirataria digital amplamente conhecidos, como kinogoo.fm, starfilx.in ou hdrezka.pro, o que acrescenta uma camada adicional de risco reputacional para os anunciantes cujas campanhas acabam por aparecer nestes ambientes ilícitos sem o seu conhecimento.
Resposta da IAS e da Google
A IAS partilhou as suas descobertas com a Google, que confirmou que não existem apps ativas na Google Play Store associadas a esta ameaça. Graças ao Google Play Protect, os utilizadores com serviços Google ativados estão protegidos mesmo em caso de downloads externos — mas nas lojas não oficiais, o risco mantém-se.
Por sua vez, a IAS atualizou os seus modelos de machine learning e soluções pre-bid para garantir que os seus parceiros não licitam impressões provenientes destas apps. Os segmentos de fraude da IAS já bloqueiam proativamente este tráfego nos principais DSPs.
O impacto de Kaleidoscope é global, mas com uma concentração especialmente elevada na Índia (20%), seguida pela Indonésia, Filipinas e Brasil, onde o uso de lojas de apps não oficiais e a exposição a malvertising são mais frequentes.
O relatório documenta ainda como os programadores estão a adotar técnicas para dificultar a análise de segurança: encriptações falsas em ficheiros APK, utilização de tipos de ficheiro falsos e camuflagem complexa do código. Estas estratégias visam atrasar o trabalho dos investigadores e contornar antivírus através de mecanismos concebidos para simular proteção.
