一个名为SlopAds的大规模广告欺诈和点击欺诈活动运营着一组224个应用程序,这些应用在228个国家和地区总共吸引了3800万次下载。
“这些应用程序利用隐写术传递欺诈有效载荷,并创建隐藏的WebView以导航至威胁行为者拥有的套现网站,生成欺诈性的广告展示和点击,”HUMAN的Satori威胁情报与研究团队在与《黑客新闻》分享的一份报告中表示。
“SlopAds”这个名字暗示了这些应用可能是大规模生产的,以及威胁 actors 在命令与控制(C2)服务器上托管的StableDiffusion、AIGuide和ChatGLM等人工智能(AI)主题服务的使用。
该公司表示,这项活动在高峰期每天有23亿次竞价请求,来自SlopAds应用的流量主要源于美国(30%)、印度(10%)和巴西(7%)。谷歌此后已从应用商店中移除了所有违规应用,有效遏制了这一威胁。
这项活动的突出之处在于,当下载与SlopAds相关联的应用程序时,它会查询移动营销归因SDK,以确认该应用是直接从应用商店下载的(即自然下载),还是用户点击广告后被重定向到应用商店列表所导致的下载(即非自然下载)。
只有在用户点击广告后下载应用的情况下,才会触发欺诈行为,此时应用会从C2服务器下载广告欺诈模块FatModule。而如果是从应用商店正常安装的,该应用就会按照应用商店页面上宣传的那样运行。
“从开发和发布仅在特定情况下进行欺诈的应用程序,到添加一层又一层的混淆手段,SlopAds印证了这样一种观点,即对数字广告生态系统的威胁在复杂性上只会不断升级,”HUMAN的研究人员表示。
“这种策略为威胁攻击者创建了一个更完整的反馈循环,只有当他们有理由相信该设备没有被安全研究人员检查时,才会触发欺诈。它将恶意流量混入合法的活动数据中,使检测变得复杂。”
FatModule 通过四个 PNG 图像文件进行传播,这些文件隐藏了 APK,随后 APK 会被解密和重组,以收集设备和浏览器信息,并利用隐藏的 WebView 进行广告欺诈。
HUMAN的研究人员表示:“SlopAds的一种套现机制是通过威胁行为者拥有的HTML5(H5)游戏和新闻网站。这些游戏网站频繁展示广告,而且由于加载这些网站的WebView是隐藏的,所以在WebView关闭前,这些网站可以通过大量的广告展示和点击来盈利。”
经发现,推广SlopAds应用程序的域名会链接回另一个域名ad2[.]cc,该域名充当二级C2服务器。据统计,已识别出约300个宣传此类应用程序的域名。
这一进展发生在HUMAN将另外352款安卓应用标记为代号为IconAds的广告欺诈计划的一部分后两个多月。
“SlopAds凸显了移动广告欺诈日益增长的复杂性,包括隐蔽的、有条件的欺诈执行以及快速扩展能力,”HUMAN的首席信息安全官加文·里德表示。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
