Google отстрани 224 Android апликации со малициозен софтвер поврзани со масовна измама со реклами

Масовна измама со реклами на Android, наречена „SlopAds“, беше прекината откако 224 малициозни апликации на Google Play генерирале дури 2,3 милијарди барања за реклами дневно.

Кампањата за измама со реклами ја откри тимот за закани на компанијата HUMAN – Satori Threat Intelligence, кој открил дека апликациите биле симнати повеќе од 38 милиони пати. Апликациите користеле обфускација и стеганографија за да го сокријат малициозното однесување од Google и безбедносните алатки.

Кампањата била глобална – корисници од 228 земји ги инсталирале апликациите, а сообраќајот од SlopAds бил одговорен за 2,3 милијарди барања за реклами секој ден. Најголем дел од рекламните импресии доаѓале од САД (30%), потоа Индија (10%) и Бразил (7%).

„Истражувачите ја нарекоа оваа операција ‘SlopAds’ затоа што апликациите поврзани со заканата изгледаат како масовно произведени, во стилот на ‘AI slop’, и како референца на колекција на апликации и услуги поврзани со вештачка интелигенција, хостирани на C2 серверот на напаѓачите“, објаснија од HUMAN.

Кампањата за измама со реклами SlopAds

Оваа измама користела повеќе нивоа на тактики за избегнување откривање, со цел да помине незабележано низ процесот на проверка на Google и безбедносниот софтвер.

Доколку корисник инсталирал SlopAds апликација органски преку Play Store – односно не преку реклама од самата кампања – апликацијата се однесувала нормално, извршувајќи ја функционалноста како што било рекламирано.

Но, доколку било утврдено дека апликацијата е инсталирана по кликнување на реклама од кампањата, софтверот користел Firebase Remote Config за да преземе енкриптирана конфигурациска датотека со линкови до модули за малициозен софтвер, „cashout“ сервери и JavaScript код.

Апликацијата потоа утврдувала дали е инсталирана на уред од вистински корисник или пак се анализира од страна на истражувач или безбедносна алатка.

Ако ги помине тие проверки, апликацијата симнувала четири PNG слики, кои преку стеганографија содржеле делови од малициозен APK – дел кој го напојувал модулот за измама со реклами.

Откако сликите ќе се симнеле, тие се декриптирале и повторно се составувале во уредот во целосниот малициозен „FatModule“, кој ја активирал измамата.

Кога FatModule се активира, тој користи скриени WebViews за да собира информации за уредот и прелистувачот, па потоа се поврзува со лажни веб-страници (имитирајќи игри и вести) кои прикажуваат реклами во позадина – без знаење на корисникот – создавајќи повеќе од 2 милијарди лажни импресии и кликови дневно, со што напаѓачите заработувале пари.

Според HUMAN, инфраструктурата на кампањата вклучувала голем број command-and-control сервери и над 300 промотивни домени, што укажува дека напаѓачите планирале да ја прошират операцијата и над првично идентификуваните 224 апликации.

Google ги отстранил сите познати SlopAds апликации од Play Store, а Android-овата функција Google Play Protect е ажурирана за да ги предупредува корисниците да деинсталираат такви апликации, доколку се најдат на нивните уреди.

Сепак, HUMAN предупредува дека поради сложеноста на кампањата, постои голема веројатност напаѓачите да се адаптираат и да се обидат повторно со нова верзија на измамата.

Извори:

• Bleeping Computer– „Google nukes 224 Android malware apps behind massive ad fraud campaign“.Bleeping Computer