Исследователи из команды Satori Threat Intelligence компании HUMAN сообщили, что операция под названием «SlopAds» генерировала до 2,3 миллиарда рекламных запросов в день.
Эти приложения были загружены более 38 миллионов раз и использовали методы обфускации и стеганографии, чтобы скрыть вредоносное поведение от Google и систем безопасности.
Мошенническая кампания имела глобальный характер: приложения устанавливали пользователи из 228 стран и регионов. Наибольшая доля рекламного трафика приходилась на США (30%), Индию (10%) и Бразилию (7%).
Название SlopAds исследователи выбрали как намек на массовую «штамповку» приложений, похожую на «AI-slop», а также из-за того, что на управляющем сервере злоумышленников размещались сервисы с «искусственным интеллектом» в названии.
Вредоносная кампания SlopAds
Особенность схемы заключалась в многоуровневых механизмах обхода проверок Google и антивирусных решений.
Если пользователь устанавливал приложение напрямую из Google Play, не переходя по рекламной ссылке, оно вело себя как обычное и выполняло заявленные функции.
Но если установка происходила после клика по рекламе, приложение с помощью Firebase Remote Config загружало зашифрованный конфигурационный файл. В нем содержались ссылки на модули рекламного мошенничества, серверы для вывода денег и JavaScript-код.
После этого приложение проверяло, действительно ли оно работает на устройстве пользователя, а не в среде исследователя или системы анализа.
Если проверка проходила успешно, программа скачивала четыре PNG-изображения, внутри которых с помощью стеганографии были спрятаны фрагменты вредоносного APK.
Эти изображения затем расшифровывались и собирались в полноценный модуль под названием FatModule.
Активированный FatModule создавал скрытые WebView-окна, через которые собирал данные об устройстве и браузере, а затем обращался к мошенническим доменам, имитировавшим игровые и новостные сайты.
На этих доменах непрерывно показывалась реклама, генерировавшая свыше 2 миллиардов фиктивных показов и кликов ежедневно. Таким образом злоумышленники получали доход от рекламных сетей.
По данным HUMAN, инфраструктура кампании включала десятки серверов управления и более 300 связанных доменов, что указывает на планы преступников расширять операцию за пределы уже выявленных 224 приложений.
Google удалил все известные приложения SlopAds из магазина Google Play, а антивирус Google Play Защита теперь предупреждает пользователей о необходимости удалить такие программы с устройств.
Тем не менее исследователи HUMAN отмечают, что высокая степень технической продуманности схемы говорит о том, что злоумышленники, скорее всего, будут пытаться повторить атаку в будущем в новой форме.
Угрозы безопасности
• В Google Play были удалены 224 вредоносных приложения для Android из-за рекламного мошенничества
• Яндекс помог устранить уязвимость в движке V8 для браузеров на Chromium
• Apple выпустила исправления уязвимости «нулевого дня» для старых iPhone и iPad
• Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot
• В даркнете растёт рынок аренды аккаунтов мессенжера Max
• Apple предупреждает пользователей о целевых атаках шпионского ПО