Una operación masiva de fraude publicitario y fraude llamado Inclinado Realizó un montón de 224 aplicaciones, atrayendo colectivamente 38 millones de descargas en 228 países y territorios.
“Estas aplicaciones entregan su carga útil de fraude utilizando esteganografía y crean vistas web ocultas para navegar a los sitios de retirada de amenazas propiedad de actores, generando impresiones publicitarias fraudulentas y clics”, dijo el equipo de investigación e inteligencia de amenazas de Satori de Human en un noticia compartido con The Hacker News.
El nombre “Slopads” es un advertencia a la probable naturaleza producida en masa de las aplicaciones y el uso de servicios de inteligencia fabricado (IA) como el servidor de estabilización, aiguuro y chatglm alojados por el actor de amenazas en el servidor de comando y control (C2).
La compañía dijo que la campaña representaba 2.300 millones de solicitudes de ofertas al día en su pico, con tráfico de aplicaciones de Slopads que se originan principalmente de los EE. UU. (30%), India (10%) y Brasil (7%). Desde entonces, Google ha eliminado todas las aplicaciones ofensivas de Play Store, interrumpiendo efectivamente la amenaza.
Lo que hace que la actividad se destaque es que cuando se descarga una aplicación asociada a Slopads, consulta un SDK de atribución de marketing móvil para comprobar si se descargó directamente desde la tienda de Play (es asegurar, orgánicamente) o si fue el resultado de un adjudicatario haciendo clic en un anuncio que los redirigió a la inventario de Play Store (es asegurar, no orgánicamente).
El comportamiento fraudulento se inicia solo en escenarios en los que se descargó la aplicación posteriormente de un anuncio, hace clic, lo que hace que descargue el módulo de fraude de anuncios, Fatmodule, desde el servidor C2. Por otro banda, si se instaló originalmente, la aplicación se comporta como se anuncia en la página de App Store.
“Desde el explicación y la publicación de aplicaciones que solo cometen fraude bajo ciertas circunstancias hasta pegar capa sobre la capa de ofuscación, Slopads refuerza la conocimiento de que las amenazas al ecosistema publicitario digital solo están creciendo en sofisticación”, dijeron investigadores humanos.
“Esta táctica crea un ciclo de feedback más completo para los actores de amenaza, lo que desencadena fraude solo si tienen razones para creer que el dispositivo no está siendo examinado por los investigadores de seguridad. Combina el tráfico bellaco con datos legítimos de la campaña, lo que complica la detección”.
El Fatmodule se entrega mediante cuatro archivos de imagen PNG que ocultan el APK, que luego se descifra y se vuelve a valer para resumir información de dispositivos y navegadores, así como realizar fraude publicitario usando WebViews ocultos.
“Un mecanismo de efectivo para SLOPADS es a través del muestrario HTML5 (H5) y sitios web de informativo propiedad de los actores de amenazas”, dijeron los investigadores humanos. “Estos sitios de muestrario muestran anuncios con frecuencia, y entregado que la tino web en la que se cargan los sitios están ocultos, los sitios pueden monetizar numerosas impresiones y clics de anuncios ayer de que se cerradura la WebView”.
Se ha antitético que los dominios que promueven las aplicaciones de SLOPADS se vinculan a otro dominio, AD2 (.) CC, que sirve como servidor de nivel 2 C2. En total, se han identificado un estimado de 300 dominios que anuncian tales aplicaciones.
El explicación se produce poco más de dos meses posteriormente de que Human marcó otro conjunto de 352 aplicaciones de Android como parte de un esquema de fraude publicitario con nombre en código Iconads.
“Slopads destaca la sofisticación en cambio del fraude publicitario móvil, incluida la ejecución de fraude condicional y sigiloso y las capacidades de escalera rápida”, dijo Gavin Reid, CISO en Human.
