Команда экспертов HUMAN обнаружила в Google Play более 200 вредоносных мобильных приложений, принадлежащих мошеннической схеме SlopAds, с суммарным количеством установок более 38 млн раз. Зараженными оказались устройства в 228 странах по всему миру.
Целью злоумышленников стало создание масштабного мобильного ботнета, предназначенного для мошенничества с рекламой. На пике активности операторы ботнета генерировали до 2,3 млрд заявок на размещение рекламы с моделью оплаты CPM и CPC (показы и клики).
Главное — атрибуция
Что интересно, перед запуском вредоносной активности мошенники проверяли, откуда было загружено приложение. Если пользователь загружал приложение из Google Play, то оно работало в штатном режиме и не выполняло мошеннических действий. Если же установка происходила с переходом по рекламной ссылке, приложение загружало зашифрованную конфигурацию с сервера мошенников.
PNG-картинки для доставки вредоноса
Чтобы скрыть вредоносную активность, мошенники предприняли нетривиальный ход, скрывая каждый шаг слой за слоем с помощью многоуровневой обфускации.
После установки приложения и получения данных об атрибуции скачивались вредоносные APK-файлы, спрятанные в четырех PNG-изображениях с помощью стеганографии. Далее мошенники использовали Firebase Remote Config (облачный сервис от Google) для извлечения зашифрованной конфигурации с набором URL:
- одно для загрузки вредоносного рекламного модуля (FatModule),
- адреса монетизируемых сайтов для рекламных размещений,
- и еще один с полезной нагрузкой, которая должна выполнять скликивание рекламы.
Накрутка кликов и просмотров выполнялась в скрытых WebView-окнах, на которых запускались игровые и новостные сайты, где поток рекламных размещений всегда выше. Трафик перенаправлялся через домены несколько раз, как и менялись параметры отслеживания. Таким образом злоумышленники заметали следы, связанные с рекламными запросами.
ИИ как отбойный молоток генерировал приложения для мошенничества с рекламой
Исследователи Satori Threat Intelligence выявили 300 доменных имён, связанных с мошеннической схемой SlopAds. На управляющем сервере были обнаружены ИИ-сервисы, такие как ChatGPT, StableDiffusion, которые, как предполагают эксперты, использовались для массовой и быстрой генерации приложений и контента. Исследователи делают акцент на том, что это не официальные ИИ-сервисы.
Эта инфраструктура позволяла эффективно масштабировать мошенническую кампанию, создавая множество приложений с похожей, но слегка изменённой функциональностью, что усложняло их обнаружение и удаление.
Рекламу атаковали с устройств по всему миру
Как мы упомянули ранее, жертвы загрузили себе на устройство приложения, связанные со SlopAds, более 38 млн раз в 228 странах. Таким образом злоумышленникам удавалось генерировать трафик с устройств по всему миру. Большая часть трафика пришлась на США (30%), Индию (10%) и Бразилию (7%).
На сегодня все вредоносные приложения, связанные с SlopAds, удалены из магазина Google Play.
Механизм перенаправления трафика аналогичен тому, который исследователи обнаружили в недавней схеме с ботнетом BADBOX 2.0 — о нём мы рассказывали ранее в нашем блоге. Также в июле этого года была обнаружена схема IconAds. Тогда злоумышленники разместили в Google Play более 350 мобильных приложений, зараженных вредоносной программой, предназначенной для мошенничества с рекламой.
