O operațiune de fraudă publicitară Android la scară largă, numită „SlopAds”, a fost întreruptă după ce 224 de aplicații rău intenționate de pe Google Play au fost folosite pentru a genera 2,3 miliarde de solicitări de anunțuri pe zi.
Echipa Satori Threat Intelligence de la HUMAN a descoperit campania de fraudă publicitară. Echipa raportează că aplicațiile au fost descărcate de peste 38 de milioane de ori și folosesc tehnici de ofuscare și stealth pentru a-și ascunde comportamentul rău intenționat de Google și instrumentele de securitate.
Aproape 224 de aplicații rău intenționate legate de campania de fraudă publicitară SlopAds.
Campania a fost implementată la nivel global , cu instalări de aplicație din 228 de țări și trafic SlopAds reprezentând 2,3 miliarde de solicitări de licitare pe zi. Cea mai mare concentrație de afișări de anunțuri a provenit din Statele Unite (30%), urmate de India (10%) și Brazilia (7%).
„Cercetătorii au numit această operațiune «SlopAds» deoarece aplicațiile asociate cu această amenințare au un aspect produs în masă, asemănător cu un «AI slop» și se referă la colecția de aplicații și servicii cu tematică de inteligență artificială găzduite pe serverul C2 al actorului amenințător”, a explicat HUMAN.
Fraudă publicitară extrem de sofisticată
Frauda publicitară implică mai multe niveluri de tactici de evitare a detecției de către procesul de revizuire a aplicațiilor și software-ul de securitate al Google.
Dacă un utilizator instalează aplicația SlopAd organic prin Magazin Play și nu dintr-una dintre reclamele campaniei, aplicația se va comporta ca o aplicație normală, îndeplinind funcția promovată în mod normal.
Totuși, dacă stabilește că aplicația a fost instalată de un utilizator care a dat clic pe un link către aceasta prin intermediul uneia dintre campaniile publicitare ale actorului amenințător, software-ul va utiliza Firebase Remote Config pentru a descărca un fișier de configurare criptat care conține adresa URL pentru modulul malware de fraudă publicitară, serverul de retragere a banilor și sarcina utilă JavaScript.
Aplicația stabilește apoi dacă a fost instalată pe dispozitivul unui utilizator legitim, în loc să fie analizată de un cercetător sau de un software de securitate.
Dacă aplicația trece aceste verificări, descarcă patru imagini PNG care folosesc steganografia pentru a ascunde părți ale fișierului APK rău intenționat, care sunt folosite pentru a desfășura campania de fraudă publicitară.
Odată descărcată, imaginea este decriptată și reinstalată pe dispozitiv pentru a forma malware-ul complet „FatModule”, care este folosit pentru a efectua fraude publicitare.
Odată ce FatModule este activat, acesta folosește o vizualizare Web ascunsă pentru a colecta informații despre dispozitiv și browser, apoi navighează către domenii de fraudă publicitară (money scraping) controlate de atacator.
Acest lucru face ca dispozitivul să consume continuu resurse, inclusiv trafic de date, precum și durata de viață a bateriei și memoria pentru accesarea site-urilor de publicitate silențioasă.
Aceste domenii se dau drept jocuri și site-uri web noi, afișând continuu reclame prin ecrane WebView ascunse pentru a genera peste 2 miliarde de afișări și clicuri frauduloase pe reclame pe zi, generând astfel venituri pentru atacatori.
HUMAN a declarat că infrastructura campaniei includea mai multe servere de comandă și control și peste 300 de domenii de publicitate asociate, ceea ce sugerează că atacatorii plănuiau să își extindă aria de acoperire dincolo de cele 224 de aplicații identificate inițial.
Google a eliminat de atunci toate aplicațiile SlopAds din Magazin Play, iar Google Play Protect de pe Android a fost actualizat pentru a avertiza utilizatorii să dezinstaleze orice aplicații prezente pe dispozitivele lor.
Cu toate acestea, HUMAN avertizează că sofisticarea campaniei de fraudă publicitară sugerează că atacatorul își va adapta probabil planul pentru a încerca din nou în atacuri viitoare.
Dacă descărcați accidental o aplicație, nu trebuie să vă faceți griji că o veți găsi singuri. Cu toate acestea, utilizatorii trebuie să fie atenți la dispozitivele lor, sistemul va afișa o notificare și va solicita eliminarea acesteia.
Acest lucru se datorează faptului că Google și-a actualizat aplicația de securitate Android încorporată, Google Play Protect, pentru a avertiza utilizatorii să dezinstaleze orice aplicații rău intenționate care s-ar putea afla pe smartphone-urile sau tabletele lor.
Sursă: https://khoahocdoisong.vn/kiem-tra-ngay-224-ung-dung-doc-hai-vua-bi-google-go-bo-post2149053682.html
![[Foto] Secretarul general To Lam participă la primul Congres al Comitetului Central al Partidului, Frontul Patriei și Organizațiilor Centrale de Masă](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/23/2aa63d072cab4105a113d4fc0c68a839)
![[Foto] Prim-ministrul Pham Minh Chinh prezidează prima reuniune a Comitetului director central pentru politica locuințelor și piața imobiliară](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/22/c0f42b88c6284975b4bcfcf5b17656e7)
![[INFOGRAFIC] Tastatură ultra-subțire din aluminiu HyperOne Gen 3 pentru angajații de birou](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/9/23/bfc60d4bc2d34b91ae2814802d3d6a5f)
Comentariu (0)