Una operación masiva de fraude publicitario y fraude llamado Inclinado Realizó un grupo de 224 aplicaciones, atrayendo colectivamente 38 millones de descargas en 228 países y territorios.
«Estas aplicaciones entregan su carga útil de fraude utilizando esteganografía y crean vistas web ocultas para navegar a los sitios de retirada de amenazas propiedad de actores, generando impresiones publicitarias fraudulentas y clics», dijo el equipo de investigación e inteligencia de amenazas de Satori de Human en un informe compartido con The Hacker News.
El nombre «Slopads» es un guiño a la probable naturaleza producida en masa de las aplicaciones y el uso de servicios de inteligencia artificial (IA) como el servidor de estabilización, aiguuro y chatglm alojados por el actor de amenazas en el servidor de comando y control (C2).
La compañía dijo que la campaña representaba 2.300 millones de solicitudes de ofertas al día en su pico, con tráfico de aplicaciones de Slopads que se originan principalmente de los EE. UU. (30%), India (10%) y Brasil (7%). Desde entonces, Google ha eliminado todas las aplicaciones ofensivas de Play Store, interrumpiendo efectivamente la amenaza.
Lo que hace que la actividad se destaque es que cuando se descarga una aplicación asociada a Slopads, consulta un SDK de atribución de marketing móvil para verificar si se descargó directamente desde la tienda de Play (es decir, orgánicamente) o si fue el resultado de un usuario haciendo clic en un anuncio que los redirigió a la lista de Play Store (es decir, no orgánicamente).
El comportamiento fraudulento se inicia solo en escenarios en los que se descargó la aplicación después de un anuncio, hace clic, lo que hace que descargue el módulo de fraude de anuncios, Fatmodule, desde el servidor C2. Por otro lado, si se instaló originalmente, la aplicación se comporta como se anuncia en la página de App Store.
«Desde el desarrollo y la publicación de aplicaciones que solo cometen fraude bajo ciertas circunstancias hasta agregar capa sobre la capa de ofuscación, Slopads refuerza la noción de que las amenazas al ecosistema publicitario digital solo están creciendo en sofisticación», dijeron investigadores humanos.
«Esta táctica crea un ciclo de retroalimentación más completo para los actores de amenaza, lo que desencadena fraude solo si tienen razones para creer que el dispositivo no está siendo examinado por los investigadores de seguridad. Combina el tráfico malicioso con datos legítimos de la campaña, lo que complica la detección».
El Fatmodule se entrega mediante cuatro archivos de imagen PNG que ocultan el APK, que luego se descifra y se vuelve a montar para recopilar información de dispositivos y navegadores, así como realizar fraude publicitario usando WebViews ocultos.
«Un mecanismo de efectivo para SLOPADS es a través del juego HTML5 (H5) y sitios web de noticias propiedad de los actores de amenazas», dijeron los investigadores humanos. «Estos sitios de juego muestran anuncios con frecuencia, y dado que la vista web en la que se cargan los sitios están ocultos, los sitios pueden monetizar numerosas impresiones y clics de anuncios antes de que se cierre la WebView».
Se ha encontrado que los dominios que promueven las aplicaciones de SLOPADS se vinculan a otro dominio, AD2 (.) CC, que sirve como servidor de nivel 2 C2. En total, se han identificado un estimado de 300 dominios que anuncian tales aplicaciones.
El desarrollo se produce poco más de dos meses después de que Human marcó otro conjunto de 352 aplicaciones de Android como parte de un esquema de fraude publicitario con nombre en código Iconads.
«Slopads destaca la sofisticación en evolución del fraude publicitario móvil, incluida la ejecución de fraude condicional y sigiloso y las capacidades de escala rápida», dijo Gavin Reid, CISO en Human.