Aplikacije su generisale čak 2,3 milijarde lažnih zahteva za reklame dnevno, koristeći sofisticirane metode maskiranja koda i prikrivanja zlonamernog delovanja.
Masovna Android kampanja oglašivačke prevare, nazvana “SlopAds”, razbijena je nakon što je 224 zlonamernih aplikacija sa Google Play prodavnice korišćeno za generisanje 2,3 milijarde zahteva za reklame dnevno.
Kampanju oglašivačke prevare otkrio je HUMAN-ov Satori Threat Intelligence tim, koji je izvestio da su aplikacije preuzete više od 38 miliona puta i da su koristile maskiranje koda i steganografiju kako bi od Google-a i bezbednosnih alata prikrile zlonamerno ponašanje.
Kampanja je bila globalna, jer su korisnici instalirali aplikacije u 228 zemalja, a SlopAds saobraćaj je činio 2,3 milijarde zahteva za reklame svakog dana. Najveća koncentracija prikaza oglasa poticala je iz SAD (30%), Indije (10%) i Brazila (7%).
"Istraživači su ovu operaciju nazvali 'SlopAds' zato što aplikacije povezane sa pretnjom deluju kao masovno proizvedene, u stilu 'AI Slop-a", ali i kao aluziju na kolekciju AI aplikacija i servisa koje su napadači držali na svom C2 serveru", objašnjava HUMAN Security.
SlopAds kampanja oglašivačke prevare
Prevara sa oglasima sadržala je više taktika i nivoa izbegavanja, a sve kako bi se sprečilo otkrivanje tokom Google-ovog pregleda aplikacija i od strane bezbednosnog softvera.
Ako bi korisnik instalirao SlopAd aplikaciju organski, preko Play prodavnice, bez dolaska sa jedne od prevarantskih reklama, aplikacija bi se ponašala normalno i obavljala obećane funkcije kao i svaka druga.
Međutim, ako bi se utvrdilo da je aplikacija instalirana nakon što je korisnik kliknuo na jednu od reklamnih kampanja aktera, softver bi koristio "Firebase Remote Config" da preuzme enkriptovan konfiguracioni fajl koji je sadržao URL-ove za zlonamerni modul oglašivačke prevare, servere za preusmeravanje klikova i JavaScript kod.
Zatim bi aplikacija proveravala da li je instalirana na uređaju pravog korisnika, a ne na uređaju istraživača ili bezbednosnog softvera.
Ako bi aplikacija prošla ove provere, preuzimala bi četiri PNG slike koje su koristile steganografiju za skrivanje delova malicioznog APK fajla, koji je korišćen za pokretanje kampanje oglašivačke prevare.
Nakon preuzimanja, slike su dešifrovane i ponovo sastavljene na uređaju kako bi formirale kompletan "FatModule" malver, koji je služio za sprovođenje prevare.
Kada bi FatModule bio aktiviran, koristio bi skrivene WebView komponente za prikupljanje podataka o uređaju i pregledaču, a zatim bi odlazio na prevarantske domene koje su kontrolisali napadači, piše Bleeping Computers.
Ovi domeni su se predstavljali kao sajtovi za vesti i gejming, neprekidno prikazujući reklame kroz skrivene WebView ekrane kako bi generisali više od 2 milijarde lažnih prikaza i klikova dnevno, čime su napadači ostvarivali prihod.
HUMAN Security kaže da je infrastruktura kampanje uključivala brojne komandno-kontrolne servere i više od 300 povezanih promotivnih domena, što sugeriše da su akteri planirali širenje operacije i van inicijalno identifikovane 224 aplikacije.
Google je od tada uklonio sve poznate SlopAds aplikacije iz Play prodavnice, a Android-ov Google Play Protect je ažuriran da upozori korisnike da obrišu aplikacije ukoliko se još nalaze na uređajima.
Međutim, HUMAN upozorava da sofisticiranost ove prevarantske kampanje ukazuje na to da će akteri verovatno prilagoditi svoj plan i pokušati ponovo u nekim budućim napadima.