Корпорация Google провела масштабную зачистку Google Play и удалила 224 вредоносных Android-приложения, участвовавших в международной схеме рекламного мошенничества под названием SlopAds. Об этом сообщает команда Satori Threat Intelligence, работающая в составе исследовательского подразделения компании HUMAN.
По данным аналитиков, эти приложения ежедневно генерировали около 2,3 млрд поддельных рекламных запросов, пытаясь обмануть рекламные платформы и получить прибыль за ложные показы. Совокупное количество загрузок этих приложений превысило 38 млн, а вредоносная активность охватила пользователей в 228 странах.
Эксперты компании HUMAN уточнили, что название SlopAds отражает характер мошеннической инфраструктуры — приложения выглядели как примитивно собранные продукты массовой разработки, зачастую с якобы искусственным интеллектом в описании, тогда как фактически использовались для скрытой монетизации через рекламные потоки.
Наиболее активно трафик направлялся из США (30% от общего объёма), за ними следуют Индия (10%) и Бразилия (7%). Несмотря на широкую географию, все элементы цепочки были централизованно связаны с серверами злоумышленников, которые управляли загрузкой вредоносной нагрузки и управлением доходами.
По информации специалистов, вся схема была построена на многоуровневом механизме обхода систем защиты. На первом этапе приложения, загруженные через Google Play, не проявляли подозрительной активности. Они демонстрировали обычное поведение и выполняли заявленные функции, чтобы избежать удаления.
Если же приложение устанавливалось через рекламную кампанию, связанную с хакерской схемой, оно активировало скрытую часть кода с помощью удалённой настройки, загруженной через Firebase Remote Config. Эта настройка содержала зашифрованные адреса серверов, к которым подключалось приложение для получения вредоносных скриптов и команд.
Далее запускался механизм проверки — приложение определяло, является ли устройство реальным, или это анализ в «песочнице» или тестовой среде. Если устройство считалось безопасным для злоумышленников, происходила скрытая загрузка четырёх PNG-файлов, в которых с помощью методов стеганографии были спрятаны фрагменты вредоносного APK. Эти данные затем использовались для запуска рекламной активности, генерируя поддельные просмотры и клики.
Благодаря применению таких техник, вредоносные модули обходили традиционные методы обнаружения — как на стороне Google Play, так и на устройствах пользователей. Именно это позволило схемe SlopAds действовать столь масштабно и продолжительно.
Оригинал публикации на сайте CISOCLUB: "В Google удалили 224 вредоносных Android-приложений, угрожающих российским и американским пользователям".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.