Một chiến dịch gian lận quảng cáo và click fraud toàn cầu, được mệnh danh là SlopAds, đã được phát hiện. Chiến dịch này bao gồm 224 ứng dụng Android, với tổng cộng hơn 38 triệu lượt tải xuống trên 228 quốc gia và vùng lãnh thổ.

Các ứng dụng này, thường ngụy trang dưới dạng tiện ích theo chủ đề AI, sử dụng các kỹ thuật che giấu nâng cao như steganography và WebView ẩn để phân phối payload gian lận. Payload này tạo ra hàng tỷ lượt hiển thị và nhấp chuột quảng cáo giả mạo cho các trang web thu tiền của tác nhân đe dọa.

Quy mô và Phạm vi Hoạt động của SlopAds

Cơ sở hạ tầng của SlopAds dựa vào nhiều máy chủ C2 (command-and-control) và các tên miền quảng bá chuyên dụng. Điều này cho thấy đây là một tác nhân đe dọa được trang bị tốt và sẵn sàng mở rộng hoạt động.

Ở thời điểm đỉnh cao, SlopAds đã tạo ra 2.3 tỷ yêu cầu đấu thầu (bid requests) mỗi ngày. Lưu lượng truy cập chủ yếu đến từ Hoa Kỳ (30 phần trăm), Ấn Độ (10 phần trăm) và Brazil (7 phần trăm).

Các tên miền quảng bá hầu như chỉ đóng vai trò chuyển hướng người dùng đến danh sách ứng dụng trên Google Play Store. Đã có hơn 300 tên miền như vậy được liên kết với mối đe dọa này.

Kỹ thuật Che giấu và Thực hiện Gian lận Quảng cáo

Cơ chế Kích hoạt Gian lận

SlopAds nổi bật với logic gian lận quảng cáo có điều kiện: các ứng dụng chỉ thực hiện hành vi gian lận quảng cáo và nhấp chuột khi chúng phát hiện một con đường cài đặt không tự nhiên. Điều này xảy ra khi người dùng được chuyển hướng đến Play Store thông qua một nhấp chuột quảng cáo.

Việc này được thực hiện bằng cách sử dụng nền tảng phân bổ tiếp thị di động để phát hiện các thẻ chiến dịch trong trình giới thiệu cài đặt. Các ứng dụng được cài đặt tự nhiên sẽ hoạt động bình thường, chỉ hiển thị chức năng được quảng cáo.

Kỹ thuật Che giấu Mã độc

Một khi cài đặt không tự nhiên được xác nhận, ứng dụng sẽ lấy cấu hình được mã hóa từ Firebase Remote Config. Cấu hình này chứa chi tiết để thực hiện các bước tiếp theo.

Bốn tệp PNG được phân phối bởi máy chủ C2 che giấu FatModule APK thông qua kỹ thuật steganography kỹ thuật số. Các tệp này là hình ảnh thông thường một phần, phần còn lại là các lát mã hóa của FatModule. Ứng dụng sẽ lắp ráp lại các lát này trên thiết bị.

Nhiều lớp che giấu khác như mã hóa chuỗi, mã gốc được đóng gói và kiểm tra chống gỡ lỗi, tiếp tục cản trở việc phân tích mã độc.

Quy trình Gian lận trên WebView ẩn

Việc gian lận quảng cáo diễn ra bên trong WebView ẩn. Ban đầu, một WebView điều hướng một cách âm thầm đến một URL. URL này thu thập dữ liệu chi tiết về thiết bị và trình duyệt, bao gồm các kiểm tra phát hiện giả lập hoặc root để tránh môi trường sandbox.

Các WebView tiếp theo tuân theo các chuỗi chuyển hướng đã được làm sạch trên các tên miền thuộc sở hữu của tác nhân đe dọa. Chúng tự động nhấp vào các quảng cáo có thể xem và tạo ra các lượt hiển thị gian lận.

Một số trang web thu tiền sử dụng các trò chơi HTML5 hoặc cổng tin tức để tối đa hóa tải quảng cáo và mật độ nhấp chuột trước khi đóng WebView.

Cơ sở Hạ tầng và Phát hiện

Cơ sở Hạ tầng Điều khiển và Chỉ huy

Trong quá trình lắp ráp báo cáo, các nhà phát triển SlopAds liên tục điều chỉnh bộ công cụ của họ và chuẩn bị các ứng dụng mới để gửi lên Google Play. Điều này nhấn mạnh sự dai dẳng của chiến dịch mã độc Android này.

Sự tinh vi trong hoạt động và quá trình phát triển tích cực của SlopAds cho thấy các tác nhân đe dọa dự kiến sẽ tinh chỉnh phương pháp của mình và mở rộng danh mục ứng dụng. Mục tiêu là tiếp tục thu lợi nhuận bất hợp pháp.

Phát hiện và Phản ứng

Các nhà nghiên cứu tại Satori đã phát hiện SlopAds trong quá trình điều tra các bất thường trong dữ liệu đo từ xa của HUMAN’s Ad Fraud Defense. Việc nhóm các tên miền và hoạt động quảng bá đã cho phép các nhà phân tích lập bản đồ mạng lưới C2 và điều hướng lưu lượng truy cập rộng lớn.

Sự hợp tác với nhóm Google Play Store đã dẫn đến việc nhanh chóng gỡ bỏ các ứng dụng SlopAds mới khi chúng xuất hiện. Google đã gỡ bỏ tất cả 224 ứng dụng được xác định khỏi Play Store của mình.

Người dùng được hưởng lợi từ Google Play Protect. Công cụ này đưa ra cảnh báo khi cài đặt và chặn các hành vi liên quan đến SlopAds, ngay cả đối với các ứng dụng được cài đặt bên ngoài Play Store. Điều này đảm bảo rằng tất cả các thiết bị bị ảnh hưởng chạy các bản dựng Android được chứng nhận đều được bảo vệ theo mặc định. Thông tin chi tiết có thể được tìm thấy trên blog của HUMAN Security.

Chỉ số Thỏa hiệp (IOCs)

Chiến dịch SlopAds liên quan đến một loạt các chỉ số thỏa hiệp:

• Ứng dụng độc hại: 224 ứng dụng Android được phát hiện và gỡ bỏ khỏi Google Play Store.
• Tên miền quảng bá: Hơn 300 tên miền đã được liên kết với chiến dịch này, chủ yếu dùng để chuyển hướng người dùng đến các ứng dụng độc hại.
• Máy chủ C2: Nhiều máy chủ điều khiển và chỉ huy được sử dụng để phân phối cấu hình và payload gian lận.

Tác động Kỹ thuật và Giám sát Liên tục

Chiến dịch SlopAds nhấn mạnh sự phức tạp ngày càng tăng của các mối đe dọa mạng nhắm vào hệ sinh thái quảng cáo kỹ thuật số.

Thông qua việc lạm dụng nền tảng phân bổ một cách sáng tạo và che giấu nhiều lớp, các tác nhân đe dọa có thể tích hợp lưu lượng gian lận quảng cáo vào hành vi người dùng hợp pháp để trốn tránh việc phát hiện. Điều này làm nổi bật sự cần thiết của các biện pháp phòng thủ gian lận quảng cáo tiên tiến, dựa trên hành vi.

Satori tiếp tục theo dõi các lượt gửi ứng dụng mới, thay đổi cơ sở hạ tầng C2 và các chiến thuật thích ứng. Các khách hàng sử dụng giải pháp Ad Fraud Defense và Ad Click Defense của HUMAN được bảo vệ khỏi tác động của SlopAds, với khả năng phát hiện và giảm thiểu các yêu cầu đấu thầu và nhấp chuột gian lận theo thời gian thực.