Мошенническая операция, известная как SlopAds, проникла на платформу Google Play, добавив туда 224 вредоносных приложения, которые в общей сложности были загружены более 38 миллионов раз по всему миру. Используя продвинутые методы стеганографии и многослойной обфускации, SlopAds смог обходить средства обнаружения и доставлять мошеннические рекламные пакеты.
Техническая сложность кампаннии
Одной из уникальных черт SlopAds является условная мошенническая система, которая активировалась только в том случае, если пользователи устанавливали приложения через определенные рекламные кампании. Это позволило приложениям оставаться в Google Play, сохраняя видимость легитимности. В ходе расследования аномальной телеметрии мошенничества с рекламой аналитики Human Security выявили, что в пиковые моменты кампания производила около 2,3 миллиарда мошеннических заявок на ставки ежедневно.
Для реализации своих операций SlopAds злоупотребил легитимными сервисами разработки, такими как Firebase Remote Config, чтобы получать зашифрованные данные конфигурации, содержащие URL-адреса для загрузки основного мошеннического модуля, названного 'FatModule'. Методы доставки вредоносных нагрузок с использованием стеганографии включали передачу командными серверами специально подготовленных PNG-файлов внутри зашифрованных ZIP-архивов. Эти изображения скрывали компоненты APK, которые после расшифровки и повторной сборки формировали полный FatModule.
Защита и меры противодействия
FatModule использовал различные антианализирующие техники, включая выявление отладочных и hook-фреймворков, шифрование строк, а также упакованный нативный код, чтобы затруднить как статический, так и динамический анализ.
За счет сбора детально заданной информации о свойствах устройств, мошенники использовали скрытые WebView для навигации к контролируемым доменам, что позволяло генерировать мошеннические рекламные показы и клики без ведома пользователей. Специалисты Google провели удаление идентифицированных приложений SlopAds из Play Store, а Google Play Protect обеспечивает автоматическую защиту, предупреждая и блокируя установку известных вредоносных приложений, включая те, что были задействованы в данной кампании.
