Llamado operaciones masivas de fraude publicitario y fraude de clics, Slopads realizó un clúster de 224 aplicaciones, atrayendo 308 millones de descargas en 228 países y regiones.
«Estas aplicaciones usan esteganografía para proporcionar cargas útiles de fraude, crear vistas web ocultas, navegar para amenazar los sitios de efectivo de actores y generar impresiones y clics de anuncios fraudulentos», dijo el equipo de inteligencia e investigación de amenazas de Satori del humano en un informe compartido con Hacker News.
El nombre «Slopads» da un guiño al potencial de producción de masa de las aplicaciones y el uso de servicios de inteligencia artificial (IA) como servidores de comando y control (C2).
La compañía dijo que la campaña representaba 2,3 mil millones de solicitudes de oferta por día en su pico, con el tráfico principalmente de la aplicación Slopads que se origina en los Estados Unidos (30%), India (10%) y Brasil (7%). Desde entonces, Google ha eliminado todas las aplicaciones problemáticas de Play Store, confundiendo efectivamente la amenaza.
Lo que distingue a su actividad es cuando se descargan aplicaciones relacionadas con Slopads, consultando el SDK de atribución de marketing móvil para ver si se descargaron directamente desde la tienda de Play Store (es decir, orgánicamente) o si son el resultado de los usuarios (es decir, no operativos) que hicieron clic en los anuncios redirigidos a la lista de Play Store.
El comportamiento fraudulento solo comienza en escenarios donde la aplicación se descarga después de los clics AD, descargando el módulo de fraude de anuncios, FatModule, desde el servidor C2. Por otro lado, si se instaló originalmente, la aplicación funcionará como se anuncia en la página de App Store.
«Desde el desarrollo y la publicación de aplicaciones que han cometido fraude bajo ciertas circunstancias hasta agregar capas por encima de la capa de ofuscación, Slopads refuerza la noción de que las amenazas al ecosistema publicitario digital son simplemente sofisticadas», dijo el investigador humano.
«Esta táctica crea un ciclo de retroalimentación más completo para los actores de amenaza y solo causa fraude si hay razones para creer que el dispositivo no ha sido investigado por investigadores de seguridad. Fusiona el tráfico malicioso en datos legítimos de la campaña, lo que complica la detección».
FatModule se entrega por cuatro archivos de imagen PNG que ocultan las estafas de anuncios APK, descifradas, reensambladas y forzadas utilizando WebViews ocultas para recopilar información de dispositivos y navegador.
«Un mecanismo de efectivo para Slopads es a través de juegos HTML5 (H5) y sitios web de noticias propiedad de actores de amenazas», dijo el investigador humano. «Estos sitios de juego con frecuencia muestran anuncios y ocultan la vista web en la que se carga el sitio, lo que permite que los sitios monetizen las impresiones y clics de muchos anuncios antes de que se cierre la WebView».
Se sabe que los dominios que promueven el enlace de la aplicación SlotPad a otro dominio, AD2 (.) CC, que actúa como un servidor de nivel 2 C2. En general, se han identificado un estimado de 300 dominios que promueven tales aplicaciones.
Este desarrollo pasará poco más de dos meses después de que los humanos marcarán otro conjunto de 352 aplicaciones de Android como parte de las iconads de nombre de nombre del esquema de fraude publicitario.
«Slopads destaca el refinamiento en evolución del fraude publicitario móvil, incluida la ejecución del fraude condicional sigiloso y la capacidad de escalar rápidamente», dijo Gavin Reid, CISO en Human.
Source link
