Google usunął 224 złośliwe aplikacje ze Sklepu Play w ramach kampanii przeciwko oszustwu reklamowemu nazwanemu “SlopAds”, które generowało miliardy fałszywych żądań reklamowych dziennie. Odkryta przez zespół HUMAN Satori, operacja wykorzystywała zaawansowane taktyki ukrywania kodu, takie jak steganografia. Czy to koniec zagrożenia dla użytkowników Androida?
Kampania SlopAds, nazwana tak ze względu na masową produkcję aplikacji niskiej jakości, przypominających „AI slops”, dotknęła milionów urządzeń, generując ogromne przychody dla cyberprzestępców. Sprawdź, jak działało to oszustwo i jak się chronić.
Kampania SlopAds: skala i zasięg
Jak informuje Bleeping Computer, kampania SlopAds została odkryta przez zespół HUMAN Satori Threat Intelligence i objęła 224 aplikacje na Google Play, pobrane ponad 38 milionów razy. Generowała 2,3 miliarda żądań reklamowych dziennie, co oznaczało miliardy fałszywych wyświetleń i kliknięć. Największy udział w ruchu pochodził z USA (30%), Indii (10%) i Brazylii (7%), ale operacja działała w 228 krajach.
Infrastruktura obejmowała liczne serwery “Command & Control” (zarządzające zainfekowanymi urządzeniami) i ponad 300 domen promocyjnych, co sugeruje, iż twórcy planowali dalszą ekspansję. Aplikacje, z pozoru zwyczajne i spełniające obiecane funkcje – gry, narzędzia czy usługi AI – były masowo produkowane, by oszukiwać reklamodawców.
Mechanizm działania: od ukrytego kodu do fałszywych wyświetleń
Gdy aplikacja SlopAds była pobierana bezpośrednio z Google Play, zachowywała się jak zwykła aplikacja, spełniając deklarowane funkcje. Sytuacja zmieniała się, kiedy użytkownik kliknął w reklamę atakujących przed pobraniem. W takim przypadku aplikacja wykorzystywała usługę Firebase Remote Config, by pobrać zaszyfrowany plik z instrukcjami.
Aplikacja najpierw sprawdzała, czy znajduje się na urządzeniu zwykłego użytkownika, a nie w środowisku analitycznym. Po potwierdzeniu pobierała cztery obrazy PNG, w których ukryto fragmenty złośliwego kodu dzięki techniki maskowania danych w plikach graficznych. Te obrazy były następnie rozszyfrowywane i łączone w pełny moduł złośliwego oprogramowania, nazwany „FatModule”.
Kod został ukryty w obrazach PNG dzięki steganografii. Źródło: HUMAN Satori / Bleeping ComputerPo uruchomieniu FatModule aktywował niewidoczne dla użytkownika WebViews (WebView – komponent, który działa jak miniaturowa przeglądarka internetowa), które zbierały informacje o urządzeniu i przeglądarce, a następnie odwiedzały fałszywe strony udające serwisy z grami lub wiadomościami. W tle wyświetlały reklamy, generując miliardy fałszywych wyświetleń i kliknięć. To nie tylko obciążało baterię i zużywało dane użytkownika, ale także przynosiło milionowe zyski od reklamodawców.
Wyrafinowane, wielopoziomowe taktyki SlopAds pozwoliły ominąć recenzje Google i skanery bezpieczeństwa.
Reakcja Google i ostrzeżenia ekspertów
Google usunął wszystkie znane aplikacje SlopAds z Play Store i zaktualizował usługę Google Play Protect, by ostrzegała użytkowników o ich obecności i zalecała usunięcie. To przerwało kampanię, ale HUMAN ostrzega, iż jej zaawansowanie sugeruje, iż niedługo atakujący zaktualizują taktyki.
Aby uniknąć takich zagrożeń, włącz Play Protect, unikaj pobierania aplikacji od nieznanych deweloperów z niską liczbą recenzji i instaluj appki tylko z oficjalnego sklepu. jeżeli Twoje urządzenie nagrzewa się lub zużywa dużo danych bez powodu, sprawdź podejrzane aplikacje. Rozważ użycie renomowanych antywirusów dla Androida. SlopAds to przypomnienie, iż choćby Play Store nie jest w pełni bezpieczny – bądź czujny!
Usunięcie SlopAds to sukces Google i HUMAN, ale kampania pokazuje, jak wyrafinowane techniki stosują cyberprzestępcy. Użytkownicy Androida powinni być ostrożni, a firmy – inwestować w lepszą detekcję.
Źródło: Bleeping Computer / zdjęcie otwierające: Pexels
