Недавнее расследование команды Satori Threat Intelligence and Research выявило глобальную мошенническую операцию SlopAds, охватывающую 228 стран и территорий. Основная сложность кампании заключается в использованной тактике, включающей в себя стеганографию и создание скрытых WebViews для навигации на сайты, принадлежащие злоумышленникам. Эти действия приводят к генерации мошеннических показов рекламы и кликов, значительно увеличивая трафик из таких стран, как США, Индия и Бразилия.
На пике своей активности, эта операция размещала до 2.3 миллиардов запросов на ставки в сутки. В ответ Google принял меры по удалению всех приложений, связанных со SlopAds, из магазина Play Store.
Методика работы SlopAds
Мошенническая схема SlopAds в основном использовала
Этот тип поведения, разработанный таким образом, чтобы избегать внимания исследователей по безопасности, внедряет вредоносный трафик в законные данные, тем самым усложняя его обнаружение. Модуль FatModule доставляется через четыре PNG изображения, которые скрывают APK, необходимый для обмана системой.
- Скрытые WebViews заходят на страницы HTML5 игр и новостных сайтов, которые принадлежат злоумышленникам, и благодаря этому скрыто подходят к созданию множества рекламных показов и кликов.
- Эти сайты получают заработок до того, как WebView закроется.
Второстепенный сервер управления, известный как ad2.cc, связывает себя с почти 300 доменами, рекламирующими подобные приложения. Они становятся частью более широкой тенденции, подчеркивающей растущую сложность мошенничества с мобильной рекламой, включая скрытный и условный характер выполнения мошеннической деятельности.
Гевин Рид, директор по информационной безопасности в HUMAN, отметил, что SlopAds подчеркивает эволюцию сложности векторов мобильного мошенничества, что требует усиленного внимания со стороны специалистов по безопасности и разработчиков.
