IAS identifica más de 300 apps falsas que generaban 350 millones de pujas diarias
Integral Ad Science (IAS) ha hecho público un nuevo informe de su equipo de investigación especializado, IAS Threat Lab, que detalla el funcionamiento de “Mirage”, una sofisticada operación de fraude publicitario móvil que afectó a la tienda de apps de Android y que logró permanecer activa durante meses sin ser detectada.
Según el informe, el esquema Mirage consistía en una red de más de 300 aplicaciones fraudulentas que aparentaban ser apps de salud, fitness, limpieza del dispositivo o utilidades inofensivas. En una primera etapa, estas aplicaciones funcionaban como prometían, lo que facilitaba su instalación por parte de usuarios reales y las ayudaba a superar los controles automatizados de las tiendas. Sin embargo, una vez instaladas y tras un periodo de latencia, las apps activaban funciones ocultas que secuestraban los dispositivos, mostrando anuncios de vídeo a pantalla completa y haciendo que el móvil resultara prácticamente inutilizable.
Estas apps lograron superar los mecanismos de detección tradicionales gracias a técnicas avanzadas de cloaking y al uso masivo de instalaciones falsas generadas por bots y granjas de dispositivos físicos, lo que les permitió escalar rápidamente posiciones en los rankings de aplicaciones más populares. De hecho, muchas de ellas llegaron a situarse entre las más descargadas en mercados clave como Estados Unidos, Reino Unido, Canadá, Australia y Japón.
En total, IAS estima que Mirage consiguió más de 70 millones de descargas y llegó a generar 350 millones de bid requests diarias en entornos programáticos, a pesar de no ofrecer ninguna funcionalidad real más allá de servir anuncios. Algunas apps llegaron a pasar de cero impresiones publicitarias a generar un volumen de dos dígitos por usuario en cuestión de días.
El informe revela también que los desarrolladores detrás de Mirage utilizaron múltiples cuentas recicladas o compradas para evadir las políticas de Google Play y para poder volver a subir versiones modificadas de las mismas apps con mínimos cambios en el nombre, el icono o la estructura del código. Este patrón, según IAS, demuestra un alto grado de automatización o semi-automatización en la operación.
Las apps ya han sido eliminadas
IAS Threat Lab trabajó en estrecha colaboración con el equipo de seguridad de la tienda de aplicaciones de Android para mitigar la amenaza de forma inmediata. Como resultado, todas las aplicaciones fraudulentas identificadas fueron eliminadas de la tienda, y los dispositivos que las tuvieran instaladas (incluso si las descargaron desde fuentes externas) recibirán un aviso y una desactivación automática gracias a Google Play Protect.
La investigación, que comenzó a raíz de anomalías observadas en modelos de detección pre-bid, se convierte en un caso paradigmático de cómo las tácticas de fraude publicitario siguen evolucionando con rapidez. Según IAS, Mirage representa una “preocupante evolución” de técnicas ya vistas en operaciones anteriores, como el caso “Vapor Threat”, también documentado por su equipo de Threat Intelligence a comienzos de este año.
Para los responsables del estudio, uno de los hallazgos más reveladores ha sido la capacidad de adaptación de los estafadores: aunque las aplicaciones detectadas se eliminaban, nuevas versiones ligeramente modificadas volvían a aparecer rápidamente en la tienda, un fenómeno que los investigadores comparan con una "caja de Pandora".
En palabras de los expertos de IAS, este tipo de esquemas demuestran que bloquear aplicaciones individuales ya no es suficiente. Es necesario aplicar un enfoque más estructural, que rastree patrones entre cuentas de desarrollador, redes de promoción cruzada, y anomalías en las tasas de instalación o activación publicitaria.
IAS ha puesto a disposición del ecosistema publicitario los indicadores técnicos (Indicators of Compromise) asociados a Mirage y ha reforzado sus filtros pre-bid para excluir impresiones provenientes de cualquier app vinculada al esquema. En paralelo, recomienda a anunciantes, DSPs y agencias revisar sus listas de exclusión y exigir mayor transparencia a sus socios tecnológicos.