Компания Google предприняла решительные меры против крупной мошеннической операции с рекламой под названием SlopAds, удалив 224 вредоносных приложения из магазина
Каждый день операция генерировала порядка 2,3 миллиардов запросов на размещение рекламы, обеспечивая более 2 миллиардов мошеннических показов и кликов. Приложения SlopAds использовали сложные методы уклонения от обнаружения; если они устанавливались через органические каналы, они вели себя обычно. Однако, когда их установка происходила через рекламные кампании злоумышленников, они получали зашифрованные конфигурации через
Технологии и инфраструктура SlopAds
Чтобы скрыть опасные компоненты, приложения загружали четыре PNG-изображения, использующие стеганографию для тайной передачи частей вредоносного APK. Эти изображения в дальнейшем дшрифровывались и собирались на устройстве в вредоносный модуль FatModule, который применял скрытые WebViews для сбора информации об устройствах и браузерах. Затем он загружал контролируемые злоумышленниками домены, которые имитировали игровые и новостные сайты для непрерывного показа рекламы.
Компания HUMAN обнаружила, что инфраструктура кампании включала множество серверов команды и управления, а также более 300 промоматериалов и доменов. Наибольшее количество показов приходилось на США (30%), затем следовали Индия (10%) и Бразилия (7%). После удаления подозрительных приложений магазин Google Play был обновлён для предупреждения пользователей о потенциальных угрозах. Тем не менее, HUMAN предупреждает, что источники угроз могут адаптироваться и возобновить свои попытки.
