Команда Satori Threat Intelligence and Research Team из компании HUMAN раскрыла и пресекла масштабную операцию по рекламному мошенничеству, получившую название SlopAds. В рамках этой схемы использовался кластер из 224 Android-приложений, которые были загружены 38 миллионов раз и охватывали 228 стран и территорий. В пиковые моменты эта сеть генерировала до 2,3 миллиарда мошеннических запросов на показ рекламы ежедневно. После предоставления данных компания Google удалила все вредоносные приложения из Play Store.
Ключевой особенностью SlopAds, отличавшей её от других подобных операций, стало использование тактики «условного исполнения мошенничества». После запуска приложение отправляло запрос к SDK мобильной маркетинговой атрибуции, чтобы определить, как оно было установлено: органически (напрямую из Play Store) или неорганически (через переход по рекламной ссылке). Вредоносная нагрузка активировалась только в случае неорганической установки.
Такой подход позволял эффективно обходить проверку со стороны исследователей безопасности. Специалисты, как правило, устанавливают приложения органическим путем для анализа. В этом случае приложение SlopAds функционировало как обычный легитимный инструмент, не проявляя никакой вредоносной активности и успешно проходя проверку.
Для доставки вредоносного компонента злоумышленники использовали стеганографию. Основная вредоносная нагрузка, названная FatModule, представляла собой APK-файл, который был зашифрован и спрятан внутри четырех обычных изображений в формате PNG. После установки на устройстве пользователя приложение расшифровывало эти файлы и собирало из них полноценный исполняемый модуль FatModule.
Собранный модуль выполнял две основные функции. Сначала он собирал подробную информацию об устройстве и установленных браузерах. Затем он запускал скрытые компоненты WebView для осуществления рекламного мошенничества. Пользователь не видел этих процессов, так как они происходили в фоновом режиме.
Монетизация происходила через собственную экосистему злоумышленников. Скрытые WebViews переходили на веб-сайты, принадлежащие операторам SlopAds. Эти ресурсы представляли собой низкокачественные сайты с играми на HTML5 и новостными агрегаторами, спроектированные для максимально частого показа рекламы. Таким образом, генерировалось огромное количество мошеннических показов и кликов до момента закрытия скрытого окна.
Название SlopAds («мусорная реклама») отражает массовый характер производства низкокачественных приложений. Оно также связано с тем, что на серверах злоумышленников были обнаружены сервисы на основе искусственного интеллекта, такие как StableDiffusion, AIGuide и ChatGLM, что указывает на попытки автоматизации создания контента.
Инфраструктура операции включала около 300 доменов, которые использовались для рекламы приложений SlopAds. Эти домены были связаны с командным сервером второго уровня (Tier-2 C2), расположенным по адресу ad2[.]cc. Наибольший объем мошеннического трафика приходился на США (30%), Индию (10%) и Бразилию (7%).
По словам Гэвина Рида, директора по информационной безопасности HUMAN, операция SlopAds демонстрирует растущую сложность и скрытность мобильного рекламного мошенничества. Он подчеркнул, что «условное исполнение мошенничества и возможности быстрого масштабирования» являются признаками нового уровня угроз в этой сфере.
Раскрытие SlopAds произошло немногим более чем через два месяца после того, как HUMAN сообщила о другой крупной мошеннической схеме под названием IconAds. В рамках той операции было задействовано 352 вредоносных Android-приложения.
Изображение носит иллюстративный характер
Ключевой особенностью SlopAds, отличавшей её от других подобных операций, стало использование тактики «условного исполнения мошенничества». После запуска приложение отправляло запрос к SDK мобильной маркетинговой атрибуции, чтобы определить, как оно было установлено: органически (напрямую из Play Store) или неорганически (через переход по рекламной ссылке). Вредоносная нагрузка активировалась только в случае неорганической установки.
Такой подход позволял эффективно обходить проверку со стороны исследователей безопасности. Специалисты, как правило, устанавливают приложения органическим путем для анализа. В этом случае приложение SlopAds функционировало как обычный легитимный инструмент, не проявляя никакой вредоносной активности и успешно проходя проверку.
Для доставки вредоносного компонента злоумышленники использовали стеганографию. Основная вредоносная нагрузка, названная FatModule, представляла собой APK-файл, который был зашифрован и спрятан внутри четырех обычных изображений в формате PNG. После установки на устройстве пользователя приложение расшифровывало эти файлы и собирало из них полноценный исполняемый модуль FatModule.
Собранный модуль выполнял две основные функции. Сначала он собирал подробную информацию об устройстве и установленных браузерах. Затем он запускал скрытые компоненты WebView для осуществления рекламного мошенничества. Пользователь не видел этих процессов, так как они происходили в фоновом режиме.
Монетизация происходила через собственную экосистему злоумышленников. Скрытые WebViews переходили на веб-сайты, принадлежащие операторам SlopAds. Эти ресурсы представляли собой низкокачественные сайты с играми на HTML5 и новостными агрегаторами, спроектированные для максимально частого показа рекламы. Таким образом, генерировалось огромное количество мошеннических показов и кликов до момента закрытия скрытого окна.
Название SlopAds («мусорная реклама») отражает массовый характер производства низкокачественных приложений. Оно также связано с тем, что на серверах злоумышленников были обнаружены сервисы на основе искусственного интеллекта, такие как StableDiffusion, AIGuide и ChatGLM, что указывает на попытки автоматизации создания контента.
Инфраструктура операции включала около 300 доменов, которые использовались для рекламы приложений SlopAds. Эти домены были связаны с командным сервером второго уровня (Tier-2 C2), расположенным по адресу ad2[.]cc. Наибольший объем мошеннического трафика приходился на США (30%), Индию (10%) и Бразилию (7%).
По словам Гэвина Рида, директора по информационной безопасности HUMAN, операция SlopAds демонстрирует растущую сложность и скрытность мобильного рекламного мошенничества. Он подчеркнул, что «условное исполнение мошенничества и возможности быстрого масштабирования» являются признаками нового уровня угроз в этой сфере.
Раскрытие SlopAds произошло немногим более чем через два месяца после того, как HUMAN сообщила о другой крупной мошеннической схеме под названием IconAds. В рамках той операции было задействовано 352 вредоносных Android-приложения.
