IAS destapa una red internacional de Ad Fraud que afecta a 2,5 millones de dispositivos cada mes
Integral Ad Science (IAS) ha revelado una de las operaciones de Ad Fraud móvil más sofisticadas y persistentes de los últimos tiempos. Bajo el nombre ‘Kaleidoscope’, el informe del IAS Threat Lab ha detectado una red de apps maliciosas para Android que, camufladas como apps legítimas, generan ingresos a través de millones de impresiones publicitarias falsas. Se estima que cada mes más de 2,5 millones de dispositivos nuevos se ven comprometidos por estas apps, especialmente en regiones donde el uso de tiendas alternativas de apps es más común.
‘Kaleidoscope’ se caracteriza por su capacidad para evolucionar continuamente y burlar los sistemas de detección. Los players maliciosos detrás de esta red han abandonado el SDK original de ad fraud (CaramelAds) y han migrado hacia nuevas versiones con identidades encubiertas, como Leisure, Raccoon y Adsclub. Aunque los nombres cambian, el código, las funcionalidades y la arquitectura de estos SDKs son prácticamente idénticos, lo que indica que forman parte de un mismo sistema reempaquetado.
Estos SDKs falsos han sido diseñados para transmitir información detallada del dispositivo (como sistema operativo, operador, ubicación y estado de VPN) a servidores de configuración, que luego devuelven instrucciones específicas para mostrar anuncios, reconectar con otros servidores o redirigir a contenidos publicitarios de baja calidad.
¿Cómo operan las apps maliciosas?
Las apps maliciosas suelen presentarse como clones funcionales de otras legítimas, muchas veces con el mismo ID de app. Una vez instaladas (mayoritariamente desde tiendas de terceros), ejecutan prácticas de ad fraud como:
Mostrar anuncios intersticiales intrusivos fuera de contexto, sin que el usuario interactúe.
Utilizar técnicas de overlay para mostrar publicidad sobre otras apps.
Solicitar permisos engañosos para acceder a notificaciones o superponer contenido.
Enviar tráfico a webs de baja calidad, incluyendo páginas con contenidos adultos que solicitan permisos de notificación para seguir impactando al usuario.
Algunos de estos anuncios permanecen activos en la barra de notificaciones del dispositivo, incluso después de cerrar la app, asegurando una persistencia publicitaria constante.
Monetización encubierta y red de distribución
La investigación de IAS identificó que el fraude se monetiza a través de redes de resellers poco vigiladas, muchas de las cuales no verifican correctamente la calidad del inventario. Un importante player en este ecosistema es la empresa portuguesa Saturn Dynamic (saturndynamic.pt), que actúa como punto de distribución central para el tráfico fraudulento generado por Kaleidoscope.
El análisis de archivos app-ads.txt y sellers.json reveló patrones sospechosos: desarrolladores con archivos inflados (más de 9.000 líneas) y duplicados sistemáticos, así como solapamientos entre apps de distintos desarrolladores, lo que sugiere control centralizado.
Saturn Dynamic también aparece vinculado a webs de piratería digital ampliamente documentados, como kinogoo.fm, starfilx.in o hdrezka.pro, lo que añade otra capa de riesgo reputacional para anunciantes cuyas creatividades acaban en entornos ilícitos sin saberlo.
Respuesta de IAS y Google
IAS ha compartido sus hallazgos con Google, que ha confirmado que no hay apps activas en Google Play vinculadas a esta amenaza. Gracias a Google Play Protect, los usuarios con servicios de Google activados están protegidos incluso ante descargas externas, pero en tiendas no oficiales el riesgo persiste.
Por su parte, IAS ha actualizado sus modelos de machine learning y soluciones pre-bid para garantizar que sus partners no pujen por impresiones originadas desde estas apps. Los segmentos de fraude de IAS ya bloquean de forma preventiva este tráfico dentro de los principales DSPs.
El impacto de Kaleidoscope es a nivel mundial, pero con una concentración especialmente significativa en India (20%), seguida por Indonesia, Filipinas y Brasil, donde el uso de tiendas de apps no oficiales y la exposición a malvertising es más elevada.
El informe también documenta cómo los desarrolladores están incorporando técnicas para dificultar el análisis de seguridad: cifrados falsos en APKs, uso de tipos de archivo falsos y el camuflaje complejo del código. Estas técnicas buscan frenar el trabajo de los investigadores y burlar antivirus mediante tácticas diseñadas para aparentar protección.