Посмотрите на 224 вредоносных приложения, которые Google только что удалил.

Масштабная операция по мошенничеству с рекламой на Android, получившая название «SlopAds», была пресечена после того, как 224 вредоносных приложения в Google Play использовались для генерации 2,3 млрд рекламных запросов в день.

Команда Satori Threat Intelligence из HUMAN обнаружила мошенническую кампанию с рекламой. Команда сообщает, что приложения были загружены более 38 миллионов раз и используют методы обфускации и скрытности, чтобы скрыть свою вредоносную активность от Google и инструментов безопасности.

Около 224 вредоносных приложений связаны с мошеннической рекламной кампанией SlopAds.

Кампания была развернута по всему миру : приложения были установлены в 228 странах, а трафик SlopAds составил 2,3 млрд запросов ставок в день. Наибольшая концентрация показов рекламы пришлась на США (30%), далее следуют Индия (10%) и Бразилия (7%).

«Исследователи окрестили эту операцию «SlopAds», поскольку приложения, связанные с этой угрозой, имеют внешний вид массового производства, напоминая «ИИ-помойку», и относятся к набору приложений и сервисов на основе ИИ, размещенных на сервере C2 злоумышленника», — поясняет HUMAN.

Các ứng dụng Android liên quan đến chiến dịch gian lận quảng cáo SlopAds Nguồn: HUMAN Satori — Приложения Android, замешанные в мошеннической рекламной кампании SlopAds Источник: HUMAN Satori

Чрезвычайно изощренное рекламное мошенничество

Рекламное мошенничество подразумевает использование нескольких уровней уловок, чтобы избежать обнаружения процессом проверки приложений Google и программным обеспечением безопасности.

Если пользователь устанавливает приложение SlopAd органически через Play Store, а не через одну из реклам кампании, приложение будет вести себя как обычное приложение, выполняя заявленную функцию в обычном режиме.

Quy trình làm việc của phần mềm độc hại gian lận quảng cáo SlopAds Nguồn: HUMAN SATORI — Рабочий процесс вредоносного ПО SlopAds для мошеннической рекламы Источник: HUMAN SATORI

Однако если программа определит, что приложение было установлено пользователем, который нажал на ссылку в одной из рекламных кампаний злоумышленника, то она воспользуется Firebase Remote Config для загрузки зашифрованного файла конфигурации, содержащего URL-адрес модуля вредоносного ПО для мошеннической рекламы, сервера вывода средств и полезной нагрузки JavaScript.

Затем приложение определяет, было ли оно установлено на законном устройстве пользователя, а не анализировалось исследователем или программным обеспечением безопасности.

Если приложение проходит эти проверки, оно загружает четыре изображения PNG, которые с помощью стеганографии скрывают части вредоносного APK-файла, используемые для реализации самой кампании мошеннической рекламы.

Mã độc ẩn trong hình ảnh bằng kỹ thuật ẩn chữ Nguồn: HUMAN Satori — Вредоносный код, скрытый в изображениях с помощью стеганографии Источник: HUMAN Satori

После загрузки изображение расшифровывается и повторно устанавливается на устройство, формируя полноценную вредоносную программу «FatModule», которая используется для мошенничества с рекламой.

После активации FatModule использует скрытый WebView для сбора информации об устройстве и браузере, а затем переходит на домены, контролируемые злоумышленником и предназначенные для мошенничества с рекламой (выманивания денег).

Это приводит к тому, что устройство постоянно потребляет ресурсы, включая трафик данных, а также заряд батареи и память для доступа к сайтам с молчаливой рекламой.

Эти домены выдают себя за игры и новые веб-сайты, непрерывно демонстрируя рекламу через скрытые экраны WebView, что позволяет генерировать более 2 миллиардов мошеннических показов и кликов рекламы в день, тем самым принося доход злоумышленникам.

HUMAN заявил, что инфраструктура кампании включала несколько командно-контрольных серверов и более 300 связанных рекламных доменов, что позволяет предположить, что злоумышленники планировали расширить свой охват за пределы первоначально выявленных 224 приложений.

С тех пор Google удалил все приложения SlopAds из Play Store, а функция Google Play Protect на Android была обновлена, чтобы предупреждать пользователей о необходимости удалить все приложения, установленные на их устройствах.

Однако HUMAN предупреждает, что сложность кампании по мошенничеству с рекламой позволяет предположить, что злоумышленник, скорее всего, адаптирует свой план, чтобы повторить попытку в будущих атаках.

Если вы случайно скачали приложение, вам не нужно беспокоиться о его отслеживании. Однако пользователям следует быть внимательнее на своих устройствах: система выдаст уведомление с предложением удалить приложение.

Это связано с тем, что Google обновила встроенное приложение безопасности Android Google Play Protect, чтобы предупредить пользователей о необходимости удалить любые вредоносные приложения, которые могут быть на их смартфонах или планшетах.