Discutăm astăzi despre o amplă operațiune de fraudă publicitară pe Android, descoperită pe Google Play: 224 de aplicații malițioase care au generat în total aproximativ 2, 3 miliarde de cereri de reclame zilnic, cu descărcări ce depășesc 38 de milioane la nivel global. Investigația a fost realizată de echipa Satori Threat Intelligence de la HUMAN, care a scos la iveală tehnici avansate de ascundere a codului și o infrastructură extinsă, activă în 228 de țări.
Fenomenul nu este complet nou: în ultimele decenii, platformele mobile au fost vizate de scheme sofisticate, iar această campanie, denumită SlopAds, reflectă evoluția fraudelor digitale din alte perioade, doar că de data aceasta atacatorii au folosit steganografie și servicii moderne precum Firebase pentru a rămâne neobservați. Satori a precizat că numele SlopAds provine din impresia de producție în masă, plus referințe la o colecție de aplicații cu tematică AI găzduite pe serverele de comandă și control ale atacatorilor.
Aplicațiile compromise păreau legitime pentru utilizatorii care le instalau direct din magazinul Google Play: dacă instalarea era organică, aplicația funcționa normal și oferea funcționalitatea promisă. Situația se complica când instalarea provenea din reclamele controlate de atacatori. În acest scenariu, aplicația folosea Firebase Remote Config pentru a descărca un fișier de configurare criptat care conținea URL-uri către module malware, servere de „cashout” și un payload JavaScript. Ulterior efectua verificări pentru a confirma că rulează pe un dispozitiv real al unui utilizator, nu într-un mediu de analiză.
Dacă trecea de aceste verificări, aplicația descărca patru imagini PNG ce conțineau, ascunse prin steganografie, fragmente dintr-un APK malițios. Imaginile erau decriptate și reasamblate pe dispozitiv, rezultând modulul FatModule, folosit apoi în campania de fraudă publicitară. FatModule utiliza WebView-uri invizibile pentru a colecta informații despre dispozitiv și browser, apoi naviga către domenii controlate de atacatori care imită site-uri de știri sau jocuri. Aceste pagini rulau reclame continuu în ferestre invizibile, generând peste 2 miliarde de afișări și clicuri frauduloase pe zi, ceea ce se traducea în venituri ilicite pentru operatori.
Traficul generat de SlopAds provenea în cea mai mare parte din Statele Unite (30%), urmat de India (10%) și Brazilia (7%). Infrastructura campaniei includea numeroase servere de comandă și control și peste 300 de domenii promoționale asociate, semnalând intenția operatorilor de a extinde schema dincolo de cele 224 de aplicații identificate inițial.
Google a eliminat aplicațiile cunoscute din Play Store și a actualizat Google Play Protect pentru a avertiza utilizatorii să le dezinstaleze dacă le găsesc pe dispozitive. Totuși, specialiștii HUMAN avertizează că gradul de sofisticare al acestei operațiuni face probabilă adaptarea tacticilor de către atacatori în încercări viitoare.
HUMAN a publicat detalii tehnice și a descris metodele folosite pentru a ocoli procesele de revizuire și soluțiile de securitate, oferind operatorilor de securitate puncte clare de detecție și remediere. Denumirea FatModule, numărul de descărcări (peste 38 de milioane), cifra de 2, 3 miliarde de cereri pe zi și distribuția geografică (SUA 30%, India 10%, Brazilia 7%) sunt elemente concrete care pot ajuta echipele IT să prioritizeze verificările și eliminările. Actualizarea Google Play Protect și eliminarea aplicațiilor din magazin sunt pași utili, dar complexitatea schemei indică faptul că monitorizarea continuă și analiza traficului de rețea rămân esențiale.
Detalii precum utilizarea Firebase Remote Config, steganografia în PNG-uri și reasamblarea pe dispozitiv a unui APK numit FatModule arată că amenințările moderne îmbină tehnici vechi și noi pentru a rămâne sub radar. Pentru echipele de securitate, asta înseamnă că simpla scanare a aplicațiilor disponibile nu mai este suficientă; analize dinamice, verificări comportamentale în execuție și monitorizarea domeniilor asociate campaniilor devin cruciale. Următorul pas pare clar: vor apărea variante noi, iar apărarea trebuie să se adapteze.
HUMAN Satori a furnizat o imagine relativ clară a operațiunii SlopAds, cu nume și cifre care pot fi folosite imediat în investigații. Care crezi că ar trebui să fie următorul pas pentru utilizatorii care au descărcat aplicații necunoscute din Play Store?
dupa voi, dezinstalati urgent orice app necunoscuta.
da, chiar acum. nu e paranoia. 38M descarcari inseamna si tu probabil ai ceva.
verificati setarile google play, stergeti datele app-ului, resetati browserul, schimbati parolele daca ati folosit conturi in app.
scan cu un antivirus bun. nu toate detecteaza, dar e start.
daca aveti suspiciuni, faceti un factory reset. da, e drastic, dar safer.
blocati orice permisiune ciudata. notificari, acces la net, camera, loc. revocati.
salvati liste cu aplicatii instalate si raportati la google. trimiteati link-uri si screenshot.
nu mai instalati din reclame sau linkuri suspecte. nici foldere apk alea “full version” gratis.
si da… verifica contul bancar. monitor si alerta la banca.
asta e. actiune rapida sau pierzi bani si timp.