- Автор темы
- #1
Из магазина Google Play удалили 224 вредоносных приложения, которые были связаны с рекламным мошенничеством SlopAds и генерировали 2,3 млрд рекламных запросов в день.
Вредоносные приложения
Мошенническую кампанию обнаружили аналитики команды Satori Threat Intelligence из компании Human. По данным исследователей, мошеннические приложения скачали свыше 38 млн раз, и злоумышленники использовали обфускацию и стеганографию для сокрытия вредоносного поведения от Google и средств защиты.
Кампания SlopAds была глобальной — вредоносные приложения устанавливали пользователи из 228 стран и регионов. Наибольшая концентрация показов рекламы приходилась на США (30%), Индию (10%) и Бразилию (7%).
Однако если приложение было установлено после перехода по рекламе злоумышленников, малварь использовала Firebase Remote Config для загрузки зашифрованного конфигурационного файла, содержавшего URL-адреса для скачивания модуля рекламного мошенничества, серверов вывода средств и JavaScript-нагрузку.
Схема атаки
После этого приложение определяло, установлено ли оно на устройстве реального пользователя, а не анализирует ли его ИБ-специалист или специальное ПО. Если все проверки были пройдены успешно, приложение скачивало четыре PNG-изображения: хакеры использовали стеганографию для сокрытия в картинках частей вредоносного APK, который применялся непосредственно для рекламного мошенничества.
После загрузки изображения расшифровывались и собирались на устройстве в полноценную малварь FatModule. Затем вредонос активировался и использовал скрытые WebView для сбора информации об устройстве и браузере, а также переходил на домены, контролируемые злоумышленниками.
Эти домены маскировались под игровые и новостные сайты, непрерывно показывая рекламу через скрытые WebView. Эта активность генерировала более 2 млрд мошеннических показов и кликов по рекламе в день, принося доход мошенникам.
По данным, Human инфраструктура кампании состояла из множества управляющих серверов и более 300 связанных промо-доменов. Из-за этого исследователи полагают, что злоумышленники планировали расширяться за рамки выявленных 224 приложений.
В настоящее время инженеры Google удалили все известные SlopAds-приложения из магазина Google Play, а Google Play Protect обновлен, чтобы предупреждать пользователей об удалении любых таких приложений, обнаруженных на устройствах.
Однако исследователи предупреждают, что изощренность этой мошеннической кампании указывает на то, что хакеры, вероятно, адаптируют свою схему и продолжат атаки в будущем.
Вредоносные приложенияМошенническую кампанию обнаружили аналитики команды Satori Threat Intelligence из компании Human. По данным исследователей, мошеннические приложения скачали свыше 38 млн раз, и злоумышленники использовали обфускацию и стеганографию для сокрытия вредоносного поведения от Google и средств защиты.
Кампания SlopAds была глобальной — вредоносные приложения устанавливали пользователи из 228 стран и регионов. Наибольшая концентрация показов рекламы приходилась на США (30%), Индию (10%) и Бразилию (7%).
Как уже отмечалось выше, мошенники использовали множество уровней уклонения от обнаружения. К примеру, если пользователь напрямую устанавливал SlopAds-приложение через Play Store, а не переходил по ссылке рекламной ссылке, приложение не проявляло никакого вредоносного поведения и выполняло заявленные функции в штатном режиме.
Однако если приложение было установлено после перехода по рекламе злоумышленников, малварь использовала Firebase Remote Config для загрузки зашифрованного конфигурационного файла, содержавшего URL-адреса для скачивания модуля рекламного мошенничества, серверов вывода средств и JavaScript-нагрузку.
Схема атакиПосле этого приложение определяло, установлено ли оно на устройстве реального пользователя, а не анализирует ли его ИБ-специалист или специальное ПО. Если все проверки были пройдены успешно, приложение скачивало четыре PNG-изображения: хакеры использовали стеганографию для сокрытия в картинках частей вредоносного APK, который применялся непосредственно для рекламного мошенничества.
После загрузки изображения расшифровывались и собирались на устройстве в полноценную малварь FatModule. Затем вредонос активировался и использовал скрытые WebView для сбора информации об устройстве и браузере, а также переходил на домены, контролируемые злоумышленниками.
Эти домены маскировались под игровые и новостные сайты, непрерывно показывая рекламу через скрытые WebView. Эта активность генерировала более 2 млрд мошеннических показов и кликов по рекламе в день, принося доход мошенникам.
По данным, Human инфраструктура кампании состояла из множества управляющих серверов и более 300 связанных промо-доменов. Из-за этого исследователи полагают, что злоумышленники планировали расширяться за рамки выявленных 224 приложений.
В настоящее время инженеры Google удалили все известные SlopAds-приложения из магазина Google Play, а Google Play Protect обновлен, чтобы предупреждать пользователей об удалении любых таких приложений, обнаруженных на устройствах.
Однако исследователи предупреждают, что изощренность этой мошеннической кампании указывает на то, что хакеры, вероятно, адаптируют свою схему и продолжат атаки в будущем.