共计 1025 个字符,预计需要花费 3 分钟才能阅读完成。
一场名为“SlopAds”的大规模 Android 广告欺诈行动被揭露,Google Play 上的 224 款恶意应用被用于每天生成 23 亿次广告请求。此次广告欺诈活动由 HUMAN 的 Satori 威胁情报团队发现,报告称这些应用被下载超过 3800 万次,并利用混淆和隐写技术来掩盖恶意行为,逃避 Google 和安全工具的检测。
该活动范围遍布全球,用户来自 228 个国家和地区,SlopAds 流量每天产生 23 亿次广告竞价请求。广告展示量最高的地区是美国(30%),其次是印度(10%)和巴西(7%)。研究人员将此活动命名为“SlopAds”,因为与之相关的应用表面上看像是批量生产的,类似于“AI slop”,同时也参考了威胁行为者 C2 服务器上托管的一系列以 AI 为主题的应用和服务。
此次广告欺诈活动采用了多层次的规避策略,以避免被 Google 的应用审核流程和安全软件检测到。如果用户通过 Play 商店正常安装了 SlopAds 应用,而不是通过活动广告进入,该应用将表现得像一个正常应用,执行其宣传的功能。然而,如果确定用户是通过点击威胁行为者的广告活动安装该应用,软件将使用 Firebase Remote Config 下载一个加密的配置文件,其中包含广告欺诈恶意软件模块的 URL、提现服务器以及 JavaScript 有效载荷。
然后,应用会判断是否安装在合法用户的设备上,而不是被研究人员或安全软件分析。如果应用通过这些检查,它将下载四张 PNG 图片,这些图片利用隐写技术隐藏了恶意 APK 的片段,用于驱动广告欺诈活动。一旦下载完成,这些图片会在设备上解密并重新组装,形成完整的“FatModule”恶意软件,用于实施广告欺诈。
FatModule 激活后,将使用隐藏的 WebViews 收集设备和浏览器信息,然后导航到攻击者控制的广告欺诈(提现)域名。这些域名冒充游戏和新闻网站,通过隐藏的 WebView 屏幕持续展示广告,每天生成超过 20 亿次欺诈性广告展示和点击,从而为攻击者创造收入。HUMAN 表示,该活动的基础设施包括多个命令控制服务器和超过 300 个相关的推广域名,表明威胁行为者计划在已识别的 224 款应用之外进一步扩展。
Google 已将所有已知的 SlopAds 应用从 Play 商店中移除,Android 的 Google Play Protect 也已更新,警告用户卸载设备上发现的任何此类应用。然而,HUMAN 警告称,此次广告欺诈活动的复杂性表明,威胁行为者可能会调整其策略,在未来攻击中再次尝试。
