Sjekk ut de 224 skadelige appene som Google nettopp fjernet

En storstilt Android-annonsesvindeloperasjon kalt «SlopAds» har blitt avbrutt etter at 224 ondsinnede apper på Google Play ble brukt til å generere 2,3 milliarder annonseforespørsler per dag.

HUMANs Satori Threat Intelligence-team oppdaget annonsesvindelkampanjen. Teamet rapporterer at appene har blitt lastet ned mer enn 38 millioner ganger og bruker obfuskerings- og stealth-teknikker for å skjule sin ondsinnede oppførsel fra Google og sikkerhetsverktøy.

Nesten 224 ondsinnede apper knyttet til SlopAds sin annonsesvindelkampanje.

Kampanjen ble distribuert globalt , med appinstallasjoner fra 228 land og SlopAds-trafikk som sto for 2,3 milliarder budforespørsler per dag. Den høyeste konsentrasjonen av annonsevisninger kom fra USA (30 %), etterfulgt av India (10 %) og Brasil (7 %).

«Forskerne kalte denne operasjonen «SlopAds» fordi appene som er knyttet til denne trusselen har et masseprodusert utseende, som ligner en «AI-slop», og refererer til samlingen av AI-tema apper og tjenester som ligger på trusselaktørens C2-server», forklarte HUMAN.

Ekstremt sofistikert reklamesvindel

Annonsesvindel involverer flere nivåer av unnvikelsestaktikker for å unngå å bli oppdaget av Googles appgjennomgangsprosess og sikkerhetsprogramvare.

Hvis en bruker installerer SlopAd-appen organisk via Play Store, og ikke fra en av kampanjens annonser, vil appen oppføre seg som en vanlig app og utføre den annonserte funksjonen som normalt.

Hvis den imidlertid fastslår at appen ble installert av en bruker som klikket på en lenke til den gjennom en av trusselaktørens annonsekampanjer, vil programvaren bruke Firebase Remote Config til å laste ned en kryptert konfigurasjonsfil som inneholder URL-en til modulen for skadelig programvare for annonsesvindel, utbetalingsserveren og JavaScript-nyttelasten.

Appen avgjør deretter om den ble installert på en legitim brukers enhet, i stedet for å bli analysert av en forsker eller sikkerhetsprogramvare.

Hvis appen består disse kontrollene, laster den ned fire PNG-bilder som bruker steganografi for å skjule deler av den skadelige APK-en, som brukes til å gjennomføre selve annonsesvindelkampanjen.

Når bildet er nedlastet, dekrypteres det og installeres på nytt på enheten for å danne den komplette «FatModule»-skadevaren, som brukes til å utføre annonsesvindel.

Når FatModule er aktivert, bruker den en skjult WebView til å samle inn enhets- og nettleserinformasjon, og navigerer deretter til domener for annonsesvindel (pengeskraping) som kontrolleres av angriperen.

Dette fører til at enheten kontinuerlig bruker ressurser, inkludert datatrafikk, samt batterilevetid og minne for tilgang til nettsteder med stille annonsering.

Disse domenene utgir seg for å være spill og nye nettsteder, og viser kontinuerlig annonser gjennom skjulte WebView-skjermer for å generere over 2 milliarder falske annonsevisninger og klikk per dag, og dermed generere inntekter for angriperne.

HUMAN sa at kampanjens infrastruktur inkluderte flere kommando- og kontrollservere og mer enn 300 tilknyttede annonsedomener, noe som tyder på at angriperne planla å utvide rekkevidden utover de opprinnelig 224 identifiserte appene.

Google har siden fjernet alle SlopAds-apper fra Play Store, og Androids Google Play Protect har blitt oppdatert for å advare brukere om å avinstallere apper som finnes på enhetene deres.

HUMAN advarer imidlertid om at den sofistikerte annonsesvindelkampanjen antyder at angriperen sannsynligvis vil tilpasse planen sin for å prøve igjen i fremtidige angrep.

Hvis du ved et uhell laster ned en app, trenger du ikke å bekymre deg for å spore den opp selv. Brukere må imidlertid være oppmerksomme på enhetene sine, systemet vil vise et varsel og be om å fjerne den.

Dette er fordi Google har oppdatert den innebygde Android-sikkerhetsappen Google Play Protect for å advare brukere om å avinstallere skadelige apper som kan være på smarttelefonene eller nettbrettene deres.

Kilde: https://khoahocdoisong.vn/kiem-tra-ngay-224-ung-dung-doc-hai-vua-bi-google-go-bo-post2149053682.html