Перегляньте 224 шкідливі програми, які Google щойно видалив

Масштабну шахрайську операцію з реклами на Android під назвою «SlopAds» було перервано після того, як 224 шкідливі програми в Google Play використовувалися для генерації 2,3 мільярда запитів реклами на день.

Команда Satori Threat Intelligence компанії HUMAN виявила шахрайську кампанію з рекламою. Команда повідомляє, що додатки були завантажені понад 38 мільйонів разів і використовують методи обфускації та приховування, щоб приховати свою шкідливу поведінку від Google та інструментів безпеки.

Майже 224 шкідливі програми пов'язані з рекламною шахрайською кампанією SlopAds.

Кампанія була розгорнута по всьому світу , встановлення додатків здійснювалися з 228 країн, а трафік SlopAds становив 2,3 мільярда запитів ставок на день. Найбільша концентрація показів реклами спостерігалася у Сполучених Штатах (30%), далі йдуть Індія (10%) та Бразилія (7%).

«Дослідники назвали цю операцію «SlopAds», оскільки додатки, пов’язані з цією загрозою, мають масовий вигляд, що нагадує «штучний помий», і відносяться до колекції додатків і сервісів на тему штучного інтелекту, розміщених на сервері C2 зловмисника», – пояснив HUMAN.

Các ứng dụng Android liên quan đến chiến dịch gian lận quảng cáo SlopAds Nguồn: HUMAN Satori — Програми Android, задіяні в кампанії шахрайства з рекламою SlopAds Джерело: HUMAN Satori

Надзвичайно витончене рекламне шахрайство

Шахрайство з рекламою включає кілька рівнів тактик ухилення, щоб уникнути виявлення системою перевірки додатків Google та програмним забезпеченням безпеки.

Якщо користувач встановить застосунок SlopAd органічно через Play Store, а не з однієї з рекламних оголошень кампанії, застосунок працюватиме як звичайний застосунок, виконуючи рекламовану функцію у звичайному режимі.

Quy trình làm việc của phần mềm độc hại gian lận quảng cáo SlopAds Nguồn: HUMAN SATORI — Робочий процес шкідливого програмного забезпечення SlopAds для рекламного шахрайства Джерело: HUMAN SATORI

Однак, якщо виявиться, що додаток було встановлено користувачем, який натиснув на посилання на нього через одну з рекламних кампаній зловмисника, програмне забезпечення використає Firebase Remote Config для завантаження зашифрованого файлу конфігурації, що містить URL-адресу модуля шкідливого програмного забезпечення для шахрайства з рекламою, сервера виведення коштів та корисного навантаження JavaScript.

Потім додаток визначає, чи був він встановлений на пристрої законного користувача, замість того, щоб його аналізував дослідник або програмне забезпечення безпеки.

Якщо додаток проходить ці перевірки, він завантажує чотири зображення у форматі PNG, які використовують стеганографію, щоб приховати частини шкідливого APK, що використовуються для здійснення самої кампанії шахрайства з рекламою.

Mã độc ẩn trong hình ảnh bằng kỹ thuật ẩn chữ Nguồn: HUMAN Satori — Шкідливий код, прихований у зображеннях за допомогою стеганографії Джерело: HUMAN Satori

Після завантаження зображення розшифровується та повторно встановлюється на пристрій, утворюючи повноцінне шкідливе програмне забезпечення "FatModule", яке використовується для здійснення рекламного шахрайства.

Після активації FatModule він використовує прихований WebView для збору інформації про пристрій та браузер, а потім переходить до доменів, що контролюються зловмисником, для шахрайства з рекламою (вилучення грошей).

Через це пристрій постійно споживає ресурси, включаючи трафік даних, а також час роботи акумулятора та пам’ять для доступу до сайтів з тихою рекламою.

Ці домени видають себе за ігри та нові вебсайти, постійно показуючи рекламу через приховані екрани WebView, генеруючи понад 2 мільярди шахрайських показів реклами та кліків на день, тим самим приносячи дохід зловмисникам.

HUMAN повідомив, що інфраструктура кампанії включала кілька серверів командування та управління та понад 300 пов'язаних рекламних доменів, що свідчить про те, що зловмисники планували розширити свою діяльність за межі початково виявлених 224 програм.

Відтоді Google видалив усі програми SlopAds з Play Store, а службу захисту Google Play Protect для Android було оновлено, щоб попередити користувачів про необхідність видалити будь-які програми, наявні на їхніх пристроях.

Однак, HUMAN попереджає, що витонченість кампанії з рекламного шахрайства свідчить про те, що зловмисник, ймовірно, адаптує свій план, щоб спробувати повторити атаки в майбутньому.

Якщо ви випадково завантажили додаток, вам не потрібно турбуватися про те, щоб самостійно його знайти. Однак користувачам слід бути уважними на своїх пристроях, система відобразить сповіщення та попросить видалити його.

Це пов’язано з тим, що Google оновив свій вбудований додаток безпеки для Android Google Play Protect, щоб попередити користувачів про необхідність видалення будь-яких шкідливих програм, які можуть бути встановлені на їхніх смартфонах або планшетах.