La red fraudulenta distribuye su carga fraudulenta mediante esteganografía
Una operación masiva de fraude publicitario y de clics denominada SlopAds gestionó un clúster de 224 aplicaciones y atrajo en conjunto 38 millones de descargas en 228 países y territorios.
"Estas aplicaciones distribuyen su carga fraudulenta mediante esteganografía y crean vistas web ocultas para navegar a sitios de cobro propiedad de actores de amenazas, lo que genera impresiones de anuncios y clics fraudulentos", dijo en un informe el equipo de inteligencia e investigación de amenazas Satori de HUMAN.
El nombre "SlopAds" es un guiño a la probable naturaleza de producción en masa de las aplicaciones y al uso de servicios con temática de inteligencia artificial (IA) como StableDiffusion, AIGuide y ChatGLM alojados por el actor de amenazas en el servidor de comando y control (C2).
La compañía afirmó que la campaña generó 2.300 millones de solicitudes de puja diarias en su punto máximo, y que el tráfico de las aplicaciones de SlopAds provenía principalmente de EE. UU. (30%), India (10%) y Brasil (7%). Desde entonces, Google ha eliminado de Play Store todas las aplicaciones infractoras, lo que ha frenado eficazmente la amenaza.
Lo que hace que la actividad se destaque es que cuando se descarga una aplicación asociada a SlopAds, consulta un SDK de atribución de marketing móvil para verificar si se descargó directamente de Play Store (es decir, de manera orgánica) o si fue el resultado de un usuario que hizo clic en un anuncio que lo redirigió a la lista de Play Store (es decir, de manera no orgánica).
El comportamiento fraudulento solo se inicia cuando la aplicación se descargó tras hacer clic en un anuncio, lo que provocó la descarga del módulo de fraude publicitario FatModule del servidor C2. Por otro lado, si se instaló originalmente, la aplicación se comporta como se anuncia en la página de la tienda de aplicaciones.
"Desde el desarrollo y la publicación de aplicaciones que solo cometen fraude en determinadas circunstancias hasta la incorporación de capas de ofuscación, SlopAds refuerza la idea de que las amenazas al ecosistema de la publicidad digital son cada vez más sofisticadas", afirmaron los investigadores de HUMAN.
Esta táctica crea un ciclo de retroalimentación más completo para los actores de amenazas, activando el fraude solo si tienen motivos para creer que el dispositivo no está siendo examinado por investigadores de seguridad. Combina tráfico malicioso con datos legítimos de campañas, lo que dificulta la detección.
FatModule se entrega mediante cuatro archivos de imagen PNG que ocultan el APK, que luego se descifra y se vuelve a ensamblar para recopilar información del dispositivo y del navegador, así como para realizar fraudes publicitarios utilizando WebViews ocultos.
Un mecanismo de cobro de SlopAds es a través de sitios web de juegos y noticias HTML5 (H5) propiedad de los actores de amenazas, según los investigadores de HUMAN. Estos sitios de juegos muestran anuncios con frecuencia, y como la vista web en la que se cargan está oculta, pueden monetizar numerosas impresiones y clics de anuncios antes de que se cierre la vista web.
Se ha descubierto que los dominios que promocionan aplicaciones de SlopAds enlazan a otro dominio, ad2[.]cc, que funciona como servidor C2 de nivel 2. En total, se han identificado aproximadamente 300 dominios que anuncian dichas aplicaciones.
El desarrollo llega poco más de dos meses después de que HUMAN detectara otro conjunto de 352 aplicaciones de Android como parte de un esquema de fraude publicitario cuyo nombre en código era IconAds .
"SlopAds destaca la creciente sofisticación del fraude publicitario móvil, que incluye la ejecución sigilosa y condicional del fraude y capacidades de escalamiento rápido", afirmó Gavin Reid, CISO de HUMAN.
