Google'ın kaldırdığı 224 kötü amaçlı uygulamaya göz atın

"SlopAds" adı verilen büyük çaplı bir Android reklam dolandırıcılığı operasyonu, Google Play'deki 224 kötü amaçlı uygulamanın günlük 2,3 milyar reklam isteği oluşturmak için kullanılmasının ardından sekteye uğradı.

HUMAN'ın Satori Tehdit İstihbarat ekibi, reklam dolandırıcılığı kampanyasını keşfetti. Ekip, uygulamaların 38 milyondan fazla indirildiğini ve kötü amaçlı davranışlarını Google ve güvenlik araçlarından gizlemek için gizleme ve gizleme teknikleri kullandığını bildirdi.

SlopAds reklam dolandırıcılığı kampanyasına yaklaşık 224 kötü amaçlı uygulama bağlandı.

Kampanya dünya çapında uygulandı ve 228 ülkeden uygulama yüklemeleri gerçekleştirildi ve SlopAds trafiği günde 2,3 milyar teklif isteğine karşılık geldi. Reklam gösterimlerinin en yoğun olduğu ülke Amerika Birleşik Devletleri (%30), ardından Hindistan (%10) ve Brezilya (%7) geldi.

HUMAN, "Araştırmacılar bu operasyona 'SlopAds' adını verdiler çünkü bu tehdit ile ilişkilendirilen uygulamalar, 'AI slop'a benzeyen toplu üretilmiş bir görünüme sahip ve tehdit aktörünün C2 sunucusunda barındırılan AI temalı uygulama ve hizmet koleksiyonunu ifade ediyor," diye açıkladı.

Các ứng dụng Android liên quan đến chiến dịch gian lận quảng cáo SlopAds Nguồn: HUMAN Satori — Android Uygulamaları SlopAds Reklam Sahtekarlığı Kampanyasına Dahil Oldu Kaynak: HUMAN Satori

Son derece karmaşık reklam dolandırıcılığı

Reklam dolandırıcılığı, Google'ın uygulama inceleme süreci ve güvenlik yazılımı tarafından tespit edilmekten kaçınmak için birden fazla düzeyde kaçınma taktiği içerir.

Bir kullanıcı SlopAd uygulamasını kampanyanın reklamlarından biri üzerinden değil de Play Store üzerinden organik olarak yüklerse, uygulama normal bir uygulama gibi davranacak ve reklamı yapılan işlevi normal şekilde yerine getirecektir.

Quy trình làm việc của phần mềm độc hại gian lận quảng cáo SlopAds Nguồn: HUMAN SATORI — SlopAds reklam dolandırıcılığı kötü amaçlı yazılımının iş akışı Kaynak: HUMAN SATORI

Ancak, uygulamanın tehdit aktörlerinden birinin reklam kampanyaları aracılığıyla bir bağlantıya tıklanarak yüklendiği tespit edilirse, yazılım, reklam dolandırıcılığı kötü amaçlı yazılım modülünün URL'sini, nakit çekme sunucusunu ve JavaScript yükünü içeren şifrelenmiş bir yapılandırma dosyasını indirmek için Firebase Remote Config'i kullanacaktır.

Uygulama daha sonra bir araştırmacı veya güvenlik yazılımı tarafından analiz edilmek yerine, meşru bir kullanıcının cihazına kurulup kurulmadığını belirliyor.

Uygulama bu kontrolleri geçerse, kötü amaçlı APK'nın bazı kısımlarını gizlemek için steganografi kullanan dört PNG görüntüsü indirir ve bu resimler reklam dolandırıcılığı kampanyasını yürütmek için kullanılır.

Mã độc ẩn trong hình ảnh bằng kỹ thuật ẩn chữ Nguồn: HUMAN Satori — Steganografi kullanılarak görsellere gizlenmiş kötü amaçlı kod Kaynak: HUMAN Satori

İndirilen görüntü şifresi çözülüp cihaza yeniden yüklenerek reklam dolandırıcılığı yapmak için kullanılan "FatModule" adlı kötü amaçlı yazılımın tamamı oluşturuluyor.

FatModule etkinleştirildiğinde, cihaz ve tarayıcı bilgilerini toplamak için gizli bir WebView kullanır, ardından saldırganın kontrolündeki reklam dolandırıcılığı (para toplama) alanlarına gider.

Bu durum cihazın sessiz reklam sitelerine erişim için veri trafiği, pil ömrü ve hafıza gibi kaynakları sürekli tüketmesine neden oluyor.

Bu alan adları oyunları ve yeni web sitelerini taklit ediyor, gizli WebView ekranları aracılığıyla sürekli olarak reklamlar göstererek günde 2 milyardan fazla sahte reklam gösterimi ve tıklaması oluşturuyor ve böylece saldırganlar için gelir elde ediyor.

HUMAN, kampanyanın altyapısının birden fazla komuta ve kontrol sunucusu ve 300'den fazla ilişkili reklam alanı içerdiğini, bunun da saldırganların başlangıçta tespit edilen 224 uygulamanın ötesine geçmeyi planladıklarını gösterdiğini belirtti.

Google, o zamandan beri tüm SlopAds uygulamalarını Play Store'dan kaldırdı ve Android'in Google Play Protect özelliği, kullanıcıları cihazlarında bulunan tüm uygulamaları kaldırmaları konusunda uyaracak şekilde güncellendi.

Ancak HUMAN, reklam dolandırıcılığı kampanyasının karmaşıklığının, saldırganın gelecekteki saldırılarda tekrar denemek üzere planını uyarlama olasılığını artırdığı konusunda uyarıyor.

Yanlışlıkla bir uygulama indirirseniz, onu kendiniz bulma konusunda endişelenmenize gerek yok. Ancak kullanıcıların cihazlarına dikkat etmeleri gerekiyor; sistem bir bildirim gösterecek ve uygulamayı kaldırmalarını isteyecektir.

Bunun nedeni, Google'ın yerleşik Android güvenlik uygulaması Google Play Protect'i, kullanıcıları akıllı telefonlarında veya tabletlerinde olabilecek kötü amaçlı uygulamaları kaldırmaları konusunda uyaracak şekilde güncellemesidir.