Zobacz artykuł

Tekya - najnowszy przypadek fraudu polegającego na klikaniu reklam online.

Zespół TrafficWatchdog

03.07.2020 r.

Tekya, fraud, online advertising, Check Point Research, applications, cyberattacks, ThreatCloud, malware code

Tekya - najnowszy przypadek fraudu polegającego na klikaniu reklam online.

źródło: opracowanie własne

Codziennie pojawiają się nowe zagrożenia związane z oszustwami internetowymi, a stają się one coraz trudniejsze do rozpoznania mimo bardzo zaawansowanych algorytmów ochronnych. Jak twierdzi Check Point w lutym tego roku złośliwym oprogramowaniem Haken zostało zakażonych ponad 50 000 urządzeń działających na Androidzie. Haker wykorzystywał 8 różnych, pozornie bezpiecznych, aplikacji. Niecałe 4 miesiące póżniej mamy do czynienia z nowym fraudem zwanym Tekya, o znacznie większym zasięgu działania.

Czym jest Tekya i jak ją wykryto?

Check Point Research to zespół badawczy analizujący dane o cyberatakach przechowywane na ThreatCloud, aby powstrzymać oszustów i jednocześnie zapewnić swoim klientom najnowsze możliwe zabezpieczenia. Raporty i publikacje udostępniane przez Check Point Research ujawniają nowe cyberzagrożenia i pomagają zapewnić ochronę. Tak właśnie było w tym przypadku - pracujący przy projekcie Check Point Research badacze odkryli nową rodzinę szkodliwego oprogramowania, które nazwane zostało Tekya. Zainfekowało ono 56 aplikacji, a pobrane zostało prawie milion razy na całym świecie.

W jaki sposób Tekya dostała się do aplikacji?

Aplikacje pochodziły od wielu różnych twórców, co skłania ku teorii, że same programy początkowo nie stanowiły zagrożenia. Kod złośliwego oprogramowania został do nich prawdopodobnie dopisany i aktywował się dopiero po pobraniu aplikacji, co pozwoliło mu na ominięcie algorytmów ochronnych (podczas badań Tekya nie została wykryta przez VirusTotal i Google Play Protect).

Złośliwe oprogramowanie Tekya ukryte było w zaledwie kilku wierszach kodu w pakiecie programistycznym (SDK), powszechnie używanym przez twórców aplikacji na całym świecie, dzięki czemu można go było łatwo przeoczyć. Dodatkowo Tekya zaciemniała kod natywny i również to pozwalało jej uniknąć wykrycia.

Jak działa Tekya?

Po zainstalowaniu zainfekowanej aplikacji na urządzeniu rejestrowany jest odbiornik, który ma jeden cel - załadować swoją bibliotekę („libtekya.so”) do folderu „bibliotek” w pliku .apk. Dzięki temu złośliwe oprogramowanie odpala się w tle przy podejmowaniu przez użytkownika aktywności i rejestruje jego interakcje z urządzeniem, takie jak dotyk, szczypanie, przeciąganie i inne gesty użytkownika. Następnie specjalne funkcje oprogramowania tworzą i wywołują zdarzenia dotykowe, imitując kliknięcie - Tekya używa więc własnego mechanizm „MotionEvent” Google’a (w Androidzie wprowadzony w 2019 r), aby ukrywać, że sama akcja wykonywana jest automatycznie. Dzięki temu to złośliwe oprogramowanie może klikać reklamy w aplikacjach i pobierać za to zapłatę od niczego nieświadomych reklamodawców. W dużym uproszczeniu Tekya kopiuje więc działania użytkowników udając, że klikają oni w dane reklamy.

W jakich aplikacjach ukrywała się Tekya?

Złośliwe oprogramowanie Tekya znaleziono w 56 aplikacjach na Androida, które można było pobrać z Google Play. Znaczną część z nich stanowiły gry i łamigłówki skierowane do dzieci (24 gry dla dzieci), kilka gier dla dorosłych oraz różne aplikacje użytkowe takie jak kalkulatory i aplikacje do tłumaczenia.

Najbardziej znane apikacje zainfekowane przez Tekya to:

  • Race in Space (pobrano ponad 100 000 razy)

  • Let me Go (pobrana ponad 100 000 razy)

  • Cooking Delicious (pobrana ponad 100 000 razy)

  • Aqua War (pobrana ponad 50 000 razy)

  • Dress Up (pobrana ponad 50 000 razy)

  • Kalkulator naukowy (pobrana ponad 50 000 razy)

  • ITranslator (pobrana ponad 50 000 razy)

  • Transvel (pobrana ponad 50 000 razy)

  • uTrans (pobrana ponad 50 000 razy)

Oczywiście wszystkie zainfekowane aplikacje zostały usunięte z Google Play.

Jakie były konsekwencje działania Tekya?

Oszustwo Tekya to kolejny fraud online polegający na generowaniu sztucznych kliknięć, w jego wyniku najbardziej poszkodowani zostali reklamodawcy korzystający z platform reklamowych w aplikacjach, takich jak: Google AdMob, AppLovin, Facebook i Unity. Musieli oni prawdopodobnie zapłacić za kliknięcia pozyskane w wyniku działania Tekya, a z pewnością nie przełożyło się to na większą liczbę konwersji i sprzedaży.

Jeśli chodzi o użytkowników zainfekowanych urządzeń aktywność złośliwego oprogramowania nie powinna mieć na nich dużego wpływu (poza faktem, że ich sprzęt został użyty w oszustwie i, że ktoś kopiował ich aktywności), choć mogli oni zauważyć większe zużycie energii w niektórych aplikacjach.

Tekya to kolejny dowód na to, że oszuści mogą stosunkowo łatwo czerpać zyski z fraudów reklamowych, zwłaszcza przy modelach rozliczanych za kliknięcie lub odtworzenie reklamy. Każda firma wykorzystująca internet w celach marketingowych musi mieć świadomość, że istnieje wiele oszustw online związanych z kliknięciami i stale powstają kolejne – codziennie do Google Play trafiają setki nowych aplikacji, co uniemożliwia dokładne sprawdzanie, czy każda z nich jest bezpieczna. Aby zapewnić swojej firmie ochornę przedsiębiorcy powinni zainwestować w bardziej profesjonalną ochronę, na przykład taką, jaką oferujemy w TrafficWatchdog.