Investigadores de ciberseguridad han desenmascarado un novedoso esquema de fraude publicitario que aprovecha técnicas de envenenamiento de motores de búsqueda (SEO) y contenido generado por inteligencia artificial (IA) para introducir noticias engañosas en el sitio web de Google. Descubre el feed y engañar a los usuarios para que habiliten notificaciones persistentes en el navegador que conducen a scareware y estafas financieras.

La campaña, que se ha descubierto que se dirige a los feeds de contenido personalizados de los usuarios de Android y Chrome, lleva el nombre en código pushpaganda por el equipo de investigación e inteligencia sobre amenazas Satori de HUMAN.

«Esta operación, llamada así por las notificaciones automáticas centrales para el esquema, genera tráfico orgánico no válido desde dispositivos móviles reales al engañar a los usuarios para que se suscriban y activen notificaciones que presentan mensajes alarmantes», investigadores Louisa Abel, Vikas Parthasarathy, João Santos y Adam Sell dicho en un informe compartido con The Hacker News.

En su punto máximo, alrededor de 240 millones de solicitudes de oferta se asociaron con 113 dominios vinculados a la campaña durante un período de siete días. La amenaza, aunque se observó que apuntaba a la India, desde entonces se ha expandido a otras regiones como Estados Unidos, Australia, Canadá, Sudáfrica y el Reino Unido.

Los hallazgos demuestran cómo los actores de amenazas abusan de la IA para secuestrar superficies de descubrimiento confiables y convertirlas en vehículos de entrega de scareware, deepfakes y fraude financiero, dijo Gavin Reid, director de seguridad de la información de HUMAN. Desde entonces, Google ha implementado una solución para solucionar el problema del spam.

Todo el plan depende de que los estafadores atraigan a usuarios desprevenidos a través de Google Discover para engañarlos y hacerles visitar noticias engañosas llenas de contenido generado por IA. Una vez que un usuario llega a uno de los dominios controlados por el actor, se le obliga a habilitar notificaciones automáticas que generan estafas y amenazas legales falsas.

Específicamente, una vez que se hace clic en las notificaciones de scareware, se redirige a los usuarios a sitios adicionales operados por los actores de la amenaza, lo que genera tráfico orgánico a los anuncios integrados en esos sitios y les permite generar ingresos ilícitos.

Esta no es la primera vez que los actores de amenazas utilizan las notificaciones automáticas como arma para redirigir a sitios web sospechosos. En septiembre de 2025, Infoblox arrojó luz sobre un actor de amenazas conocido como Vane Viper que se ha involucrado en un abuso sistemático de notificaciones automáticas para publicar anuncios y facilitar campañas de ingeniería social al estilo ClickFix.

«Las amenazas basadas en malware que involucran notificaciones automáticas, tanto para plataformas web como móviles, no son una amenaza novedosa, especialmente si se considera la forma en que crean una sensación de urgencia», dijo a The Hacker News Lindsay Kaye, vicepresidenta de inteligencia de amenazas de HUMAN Security. «En muchos casos, los usuarios hacen clic rápidamente, ya sea para hacer que desaparezcan o para obtener más información, lo que los convierte en una herramienta eficaz en el arsenal de un autor de malware».

La divulgación también se produce poco más de un mes después de que HUMAN identificara una colección de más de 3.000 dominios y 63 aplicaciones de Android que, según dijo, constituía uno de los mercados de lavado de fraude publicitario más grandes jamás descubierto. Apodado Low5 por su uso de sitios de noticias y juegos basados ​​en HTML5, se ha descubierto que la operación monetiza los dominios como sitios de retiro de dinero para sofisticados esquemas de fraude, incluido BADBOX 2.0.

«La operación alcanzó un máximo de aproximadamente 2 mil millones de solicitudes de ofertas por día y puede haber operado en hasta 40 millones de dispositivos en todo el mundo», dijo la compañía. dicho. «Las aplicaciones asociadas con Low5 incluyen un código que indica a los dispositivos de los usuarios que visiten uno de los dominios conectados con el esquema y hagan clic en los anuncios que se encuentran allí».

Los sitios de retiro de efectivo, también llamados sitios fantasma, se utilizan para realizar fraudes basados ​​en contenido, donde los atacantes utilizan sitios y aplicaciones falsos para vender espacio a anunciantes que pueden asumir que sus anuncios serán vistos por humanos. Las aplicaciones de Android en cuestión se eliminaron de Google Play Store.

«Una capa de monetización compartida que abarca más de 3000 dominios permite que múltiples actores de amenazas se conecten a la misma infraestructura, creando un sistema de lavado distribuido que aumenta la resistencia a las amenazas, complica la atribución y permite una replicación rápida», añadió HUMAN.

«Una conclusión clave de esta investigación es que la infraestructura de monetización puede sobrevivir incluso después de que se cierre una campaña de fraude específica. Si se elimina una aplicación o red de dispositivo malicioso, otros actores aún pueden reutilizar los mismos dominios de retiro. Low5 refuerza la necesidad de una inteligencia de amenazas continua y agresiva y experiencia en detección para buscar dominios de retiro y marcarlos antes de la oferta».