Исследователи выявили масштабную операцию рекламного мошенничества под названием SlopAds, которая использует сложную инфраструктуру и продвинутые техники сокрытия для получения финансовой выгоды. По оценкам, в кампанию вовлечено не менее 224 приложений в Google Play с суммарным числом установок более 38 миллионов. Злоумышленники применяют стеганографию и скрытые WebView, загружаемые модули и удалённые конфигурации, что делает схему труднообнаружимой и высокоадаптивной.
Кратко о схеме
Ключевые элементы операции SlopAds:
- Использование стеганографии для сокрытия мошеннических компонентов и команд.
- Динамическая загрузка конфигурации через Firebase Remote Config, содержащую зашифрованные URL и полезную нагрузку.
- Загрузка и исполнение мошеннического модуля (идентифицируемого как FatModule) и JavaScript, управляющего механизмами кликового мошенничества.
- Скрытые WebView, которые посещают контролируемые злоумышленниками H5-домены для вывода средств.
- Соединение с серверами Command and Control (C2) для получения инструкций и списка целевых доменов.
Как именно это работает
- После установки приложения оно выполняет проверки окружения (включая debug-проверки), чтобы убедиться, что не находится под анализом.
- Приложение запрашивает зашифрованную конфигурацию через Firebase Remote Config. Конфигурация содержит URL для загрузки FatModule, списки доменов H5 и JavaScript-полезную нагрузку.
- Получив конфигурацию, приложение разворачивает скрытые WebView и инициирует «скрытый просмотр» целевых сайтов, собирая подробную информацию об устройстве и браузере пользователя.
- Собранные данные используются для тонкой настройки мошеннических действий (fingerprinting), после чего приложение запрашивает у C2 инструкции о том, какие скрытые домены посещать.
- JavaScript-полезная нагрузка управляет механикой кликов и взаимодействий, эмулируя поведение реального пользователя для обхода анфрод-механизмов.
Технические характеристики и уловки
- Стеганография — используется для сокрытия команд и конфигураций внутри легитимных файлов или ресурсов, затрудняя статический анализ.
- Firebase Remote Config — злоумышленники хитро используют легитимный сервис Google для динамической доставки конфигураций и загрузки модулей.
- FatModule — внешний модуль мошенничества, загружаемый по URL из конфигурации, реализует основную логику кликов и взаимодействий.
- WebView и H5-домены — скрытый просмотр страниц позволяет собирать расширенные fingerprint-данные и направлять пользователя на сайты вывода средств.
- Command and Control (C2) — централизованное управление действиями приложений и распределение обновляемых списков целевых доменов.
- Использование JavaScript — скрипты динамически выполняют клики и симулируют поведение пользователей, чтобы обходить системы детекции и антифрод.
Масштаб и последствия
Операция охватывает десятки миллионов загрузок, что делает её значимой угрозой для экосистемы мобильной рекламы. Злоумышленники получают доход, подделывая рекламные взаимодействия и перенаправляя трафик на контролируемые ими площадки для вывода средств. Урон может затрагивать:
- рекламодателей — из-за поддельных конверсий и переплаты за несуществующие показы/клики;
- платформу Google Play и доверие пользователей к приложениям;
- партнёров по рекламной цепочке (SSP, сети DSP) из‑за искажённых метрик.
Обнаружение и роль Satori Threat Intelligence
Выявление SlopAds стало возможным благодаря анализу аномалий и корреляции данных в рамках Satori Threat Intelligence. Исследователи проследили связь между необычным поведением приложений, доменами, продвигающими эти приложения, и характерными паттернами взаимодействия с удалёнными сервисами. Наблюдение показало многослойную стратегию маскировки и постоянную адаптацию злоумышленников.
Риски эволюции и использование AI-тематик
Операция демонстрирует тенденцию усложнения схем мошенничества: злоумышленники применяют элементы, напоминающие темы искусственного интеллекта, что коррелирует с общим трендом роста изощрённости атак. Такая динамика указывает на постоянный цикл улучшения механизмов обхода обнаружения и изменение тактик по мере реакции исследователей и платформ.
Рекомендации
Для пользователей:
- Проверяйте репутацию разработчика и отзывы перед установкой приложения.
- Ограничивайте разрешения приложений и удаляйте подозрительные программы.
- Используйте актуальные версии ОС и антивирусных решений.
Для платформ (Google/Google Play) и рекламных партнёров:
- Усилить проверку приложений, особенно тех, которые динамически загружают код и используют Remote Config-сервисы.
- Ввести дополнительные сигнатуры и поведенческую аналитику для детекции скрытого WebView-трафика и аномалий кликового поведения.
- Своевременно блокировать и удалять приложения, подтверждённо участвующие в мошенничестве.
Для команд по безопасности и аналитиков:
- Отслеживать домены, C2-инфраструктуру и паттерны загрузки модулей (например, FatModule).
- Использовать комбинацию статических и динамических методов анализа, включая обнаружение стеганографии.
- Обмениваться индикаторами компрометации (IOCs) с отраслевыми партнёрами и платформами.
Заключение
SlopAds — показательный пример того, как злоумышленники комбинируют легитимные сервисы, сложные техники сокрытия и динамическое управление для масштабного мошенничества с рекламой. «Злоумышленники используют легитимные сервисы для сокрытия своих действий», — и это подчёркивает необходимость скоординированных действий со стороны платформ, рекламных сетей и исследовательских сообществ. Исследователи Satori Threat Intelligence продолжают мониторинг и предупреждают о возможной эволюции схемы, направленной на уклонение от мер по обнаружению.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "SlopAds — серьезная угроза мошенничества с рекламой и кликами".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.