Μια μεγάλης κλίμακας επιχείρηση απάτης διαφημίσεων Android με την ονομασία «SlopAds» διακόπηκε, αφού 224 κακόβουλες εφαρμογές στο Google Play χρησιμοποιήθηκαν για τη δημιουργία 2,3 δισεκατομμυρίων αιτημάτων για διαφημίσεις την ημέρα.
Η ομάδα Satori Threat Intelligence της HUMAN ανακάλυψε την καμπάνια απάτης διαφημίσεων. Η ομάδα αναφέρει ότι οι εφαρμογές έχουν ληφθεί περισσότερες από 38 εκατομμύρια φορές και χρησιμοποιούν τεχνικές απόκρυψης και μυστικότητας για να κρύψουν την κακόβουλη συμπεριφορά τους από την Google και τα εργαλεία ασφαλείας.
Σχεδόν 224 κακόβουλες εφαρμογές συνδέονται με την καμπάνια απάτης διαφημίσεων SlopAds.
Η καμπάνια αναπτύχθηκε παγκοσμίως , με εγκαταστάσεις εφαρμογών από 228 χώρες και επισκεψιμότητα SlopAds που αντιστοιχούσε σε 2,3 δισεκατομμύρια αιτήματα προσφοράς ανά ημέρα. Η υψηλότερη συγκέντρωση εμφανίσεων διαφημίσεων προήλθε από τις Ηνωμένες Πολιτείες (30%), ακολουθούμενη από την Ινδία (10%) και τη Βραζιλία (7%).
«Οι ερευνητές ονόμασαν αυτήν την επιχείρηση «SlopAds» επειδή οι εφαρμογές που σχετίζονται με αυτήν την απειλή έχουν μια μαζικής παραγωγής εμφάνιση, που μοιάζει με «AI slop» και αναφέρονται στη συλλογή εφαρμογών και υπηρεσιών με θέμα την Τεχνητή Νοημοσύνη που φιλοξενούνται στον διακομιστή C2 του απειλητικού παράγοντα», εξήγησε η HUMAN.
Εξαιρετικά εξελιγμένη διαφημιστική απάτη
Η διαφημιστική απάτη περιλαμβάνει πολλαπλά επίπεδα τακτικών φοροδιαφυγής για την αποφυγή εντοπισμού από τη διαδικασία ελέγχου εφαρμογών και το λογισμικό ασφαλείας της Google.
Εάν ένας χρήστης εγκαταστήσει την εφαρμογή SlopAd οργανικά μέσω του Play Store και όχι από μία από τις διαφημίσεις της καμπάνιας, η εφαρμογή θα συμπεριφέρεται σαν μια κανονική εφαρμογή, εκτελώντας τη διαφημιζόμενη λειτουργία κανονικά.
Ωστόσο, εάν διαπιστώσει ότι η εφαρμογή εγκαταστάθηκε από έναν χρήστη που έκανε κλικ σε έναν σύνδεσμο προς αυτήν μέσω μιας από τις διαφημιστικές καμπάνιες του απειλητικού παράγοντα, το λογισμικό θα χρησιμοποιήσει το Firebase Remote Config για να κατεβάσει ένα κρυπτογραφημένο αρχείο διαμόρφωσης που περιέχει τη διεύθυνση URL για τη λειτουργική μονάδα κακόβουλου λογισμικού απάτης διαφημίσεων, τον διακομιστή ανάληψης μετρητών και το ωφέλιμο φορτίο JavaScript.
Στη συνέχεια, η εφαρμογή προσδιορίζει εάν εγκαταστάθηκε στη συσκευή ενός νόμιμου χρήστη, αντί να αναλύεται από έναν ερευνητή ή λογισμικό ασφαλείας.
Εάν η εφαρμογή περάσει αυτούς τους ελέγχους, κατεβάζει τέσσερις εικόνες PNG που χρησιμοποιούν στεγανογραφία για να αποκρύψουν τμήματα του κακόβουλου APK, οι οποίες χρησιμοποιούνται για την εκτέλεση της ίδιας της διαφημιστικής απάτης.
Μόλις ολοκληρωθεί η λήψη, η εικόνα αποκρυπτογραφείται και επανεγκαθίσταται στη συσκευή για να σχηματίσει το πλήρες κακόβουλο λογισμικό "FatModule", το οποίο χρησιμοποιείται για την εκτέλεση διαφημιστικής απάτης.
Μόλις ενεργοποιηθεί το FatModule, χρησιμοποιεί ένα κρυφό WebView για τη συλλογή πληροφοριών συσκευής και προγράμματος περιήγησης και, στη συνέχεια, μεταβαίνει σε τομείς διαφημιστικής απάτης (απόσπασης χρημάτων) που ελέγχονται από τον εισβολέα.
Αυτό έχει ως αποτέλεσμα η συσκευή να καταναλώνει συνεχώς πόρους, συμπεριλαμβανομένης της κίνησης δεδομένων, καθώς και διάρκεια ζωής της μπαταρίας και μνήμης για την πρόσβαση σε ιστότοπους σιωπηλής διαφήμισης.
Αυτά τα domains μιμούνται παιχνίδια και νέους ιστότοπους, προβάλλοντας συνεχώς διαφημίσεις μέσω κρυφών οθονών WebView για να δημιουργήσουν πάνω από 2 δισεκατομμύρια δόλιες εμφανίσεις διαφημίσεων και κλικ την ημέρα, δημιουργώντας έτσι έσοδα για τους εισβολείς.
Η HUMAN δήλωσε ότι η υποδομή της καμπάνιας περιελάμβανε πολλαπλούς διακομιστές εντολών και ελέγχου και περισσότερους από 300 σχετικούς τομείς διαφήμισης, γεγονός που υποδηλώνει ότι οι εισβολείς σχεδίαζαν να επεκτείνουν την εμβέλειά τους πέρα από τις αρχικές 224 εφαρμογές που εντοπίστηκαν.
Η Google έκτοτε έχει αφαιρέσει όλες τις εφαρμογές SlopAds από το Play Store και το Google Play Protect του Android έχει ενημερωθεί για να προειδοποιεί τους χρήστες να απεγκαταστήσουν τυχόν εφαρμογές που υπάρχουν στις συσκευές τους.
Ωστόσο, η HUMAN προειδοποιεί ότι η πολυπλοκότητα της διαφημιστικής απάτης υποδηλώνει ότι ο εισβολέας πιθανότατα θα προσαρμόσει το σχέδιό του για να προσπαθήσει ξανά σε μελλοντικές επιθέσεις.
Αν κατεβάσετε κατά λάθος μια εφαρμογή, δεν χρειάζεται να ανησυχείτε για το αν θα την εντοπίσετε μόνοι σας. Ωστόσο, οι χρήστες πρέπει να είναι προσεκτικοί στις συσκευές τους, καθώς το σύστημα θα εμφανίσει μια ειδοποίηση και θα σας ζητήσει να την αφαιρέσετε.
Αυτό συμβαίνει επειδή η Google έχει ενημερώσει την ενσωματωμένη εφαρμογή ασφαλείας Android, Google Play Protect, για να προειδοποιεί τους χρήστες να απεγκαταστήσουν τυχόν κακόβουλες εφαρμογές που ενδέχεται να υπάρχουν στα smartphone ή τα tablet τους.
Πηγή: https://khoahocdoisong.vn/kiem-tra-ngay-224-ung-dung-doc-hai-vua-bi-google-go-bo-post2149053682.html
![[Φωτογραφία] Το Συνδικάτο Επιστήμης και Τεχνολογίας τιμά υποδειγματικούς εργαζόμενους και εξαιρετικά στελέχη του συνδικάτου](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/17/842ff35bce69449290ec23b75727934e)
![[Φωτογραφία] Ο Γενικός Γραμματέας Το Λαμ προεδρεύει συνεδρίασης εργασίας με τη Μόνιμη Επιτροπή της Επιτροπής του Κυβερνητικού Κόμματος](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/17/cf3d855fdc974fa9a45e80d380b0eb7c)
Σχόλιο (0)