Simak 224 aplikasi berbahaya yang baru saja dihapus Google

Operasi penipuan iklan Android skala besar yang dijuluki "SlopAds" telah dihentikan setelah 224 aplikasi berbahaya di Google Play digunakan untuk menghasilkan 2,3 miliar permintaan iklan per hari.

Tim Satori Threat Intelligence dari HUMAN menemukan kampanye penipuan iklan tersebut. Tim melaporkan bahwa aplikasi-aplikasi tersebut telah diunduh lebih dari 38 juta kali dan menggunakan teknik obfuscation dan stealth untuk menyembunyikan perilaku jahatnya dari Google dan alat keamanan.

Hampir 224 aplikasi berbahaya terkait dengan kampanye penipuan iklan SlopAds.

Kampanye ini diterapkan secara global , dengan penginstalan aplikasi dari 228 negara dan trafik SlopAds mencapai 2,3 miliar permintaan bid per hari. Konsentrasi tayangan iklan tertinggi berasal dari Amerika Serikat (30%), diikuti oleh India (10%) dan Brasil (7%).

Para peneliti menjuluki operasi ini 'SlopAds' karena aplikasi yang terkait dengan ancaman ini memiliki tampilan yang diproduksi secara massal, menyerupai 'AI slop', dan merujuk pada kumpulan aplikasi dan layanan bertema AI yang dihosting di server C2 pelaku ancaman tersebut," jelas HUMAN.

Penipuan periklanan yang sangat canggih

Penipuan iklan melibatkan beberapa tingkat taktik penghindaran untuk menghindari deteksi oleh proses peninjauan aplikasi dan perangkat lunak keamanan Google.

Jika pengguna menginstal aplikasi SlopAd secara organik melalui Play Store, dan bukan dari salah satu iklan kampanye, aplikasi tersebut akan berperilaku seperti aplikasi normal, menjalankan fungsi yang diiklankan seperti biasa.

Namun, jika perangkat lunak menentukan bahwa aplikasi tersebut diinstal oleh pengguna dengan mengklik tautan ke aplikasi tersebut melalui salah satu kampanye iklan pelaku ancaman, perangkat lunak akan menggunakan Firebase Remote Config untuk mengunduh file konfigurasi terenkripsi yang berisi URL untuk modul malware penipuan iklan, server pembayaran, dan muatan JavaScript.

Aplikasi tersebut kemudian menentukan apakah aplikasi tersebut diinstal pada perangkat pengguna yang sah, dan bukan dianalisis oleh peneliti atau perangkat lunak keamanan.

Jika aplikasi lolos pemeriksaan ini, ia akan mengunduh empat gambar PNG yang menggunakan steganografi untuk menyembunyikan bagian APK berbahaya, yang digunakan untuk menjalankan kampanye penipuan iklan itu sendiri.

Setelah diunduh, gambar tersebut didekripsi dan diinstal ulang pada perangkat untuk membentuk malware "FatModule" lengkap, yang digunakan untuk melakukan penipuan iklan.

Setelah FatModule diaktifkan, ia menggunakan WebView tersembunyi untuk mengumpulkan informasi perangkat dan peramban, lalu menavigasi ke domain penipuan iklan (pengiklanan uang) yang dikendalikan oleh penyerang.

Hal ini menyebabkan perangkat terus-menerus mengonsumsi sumber daya termasuk lalu lintas data serta masa pakai baterai dan memori untuk mengakses situs iklan senyap.

Domain ini menyamar sebagai game dan situs web baru, terus-menerus menampilkan iklan melalui layar WebView tersembunyi untuk menghasilkan lebih dari 2 miliar tayangan dan klik iklan palsu per hari, sehingga menghasilkan pendapatan bagi para penyerang.

HUMAN mengatakan infrastruktur kampanye tersebut mencakup beberapa server perintah dan kontrol serta lebih dari 300 domain periklanan terkait, yang menunjukkan para penyerang berencana untuk memperluas jangkauan mereka di luar 224 aplikasi awal yang diidentifikasi.

Google telah menghapus semua aplikasi SlopAds dari Play Store, dan Google Play Protect Android telah diperbarui untuk memperingatkan pengguna agar menghapus instalasi aplikasi apa pun yang ada di perangkat mereka.

Namun, HUMAN memperingatkan bahwa kecanggihan kampanye penipuan iklan menunjukkan penyerang kemungkinan akan menyesuaikan rencananya untuk mencoba lagi dalam serangan mendatang.

Jika Anda tidak sengaja mengunduh aplikasi, Anda tidak perlu khawatir melacaknya sendiri. Namun, pengguna perlu memperhatikan perangkat mereka, sistem akan menampilkan notifikasi yang meminta mereka untuk menghapusnya.

Ini karena Google telah memperbarui aplikasi keamanan Android bawaan Google Play Protect untuk memperingatkan pengguna agar menghapus instalasi aplikasi berbahaya apa pun yang mungkin ada di ponsel pintar atau tablet mereka.

Sumber: https://khoahocdoisong.vn/kiem-tra-ngay-224-ung-dung-doc-hai-vua-bi-google-go-bo-post2149053682.html