一个被称为“SlopAds”的复杂移动广告欺诈操作已渗透到谷歌应用商店,其包含的224款恶意应用在228个国家和地区累计获得了超过3800万次下载。
该活动是迄今为止发现的规模最大的移动欺诈计划之一,它利用先进的隐写术技术和多层混淆手段来投放欺诈性广告载荷,同时规避检测机制。
SlopAds背后的威胁行为者展现出了极高的 sophistication,他们实施了一种条件欺诈系统,该系统仅在用户通过特定广告活动下载应用时才会激活,而非在用户自然访问应用商店时激活。
这种选择性激活机制帮助恶意应用在平台上长期存在,同时在普通用户和自动化安全系统看来保持合法的表象。
人类安全分析师在调查其广告欺诈防御解决方案数据中的异常模式时发现了该操作。
研究人员发现,SlopAds应用程序在运营高峰期每天生成约23亿次欺诈性竞价请求,其流量分布主要集中在美国(30%)、印度(10%)和巴西(7%)。
该活动的全球影响力和庞大规模凸显了威胁行为者先进的基础设施和运营能力。
这些恶意应用程序利用了Firebase远程配置这一合法的谷歌开发工具,来获取加密的配置数据,其中包含用于下载名为“FatModule”的主要欺诈模块的URL。
这种对受信任开发平台的滥用表明,网络犯罪分子正越来越多地利用合法服务来掩盖其恶意活动,并躲避安全解决方案的检测。
高级隐写载荷投递系统
SlopAds采用了一种特别具创新性的有效载荷交付机制,这体现了移动恶意软件操作不断提升的复杂性。
该系统利用数字隐写术将恶意代码隐藏在看似无害的PNG图像文件中,从而有效绕过了侧重于可执行文件分析的传统安全扫描方法。
当一个受感染的应用程序通过初步验证检查后,命令与控制服务器会通过加密的ZIP压缩包传输四个特制的PNG文件。
这些图像包含隐藏的APK组件,这些组件在解密和重新组装后,会形成执行欺诈操作的完整FatModule。
这种隐写术方法使得恶意载荷能够绕过网络安全过滤器和应用商店扫描系统,而不会触发传统的恶意软件检测算法。
FatModule集成了多种反分析功能,包括调试工具检测,该检测专门搜索安全研究人员常用的挂钩框架、Xposed模块和Frida插桩工具。
此外,该模块在其整个代码库中采用了字符串加密,并使用打包的原生代码来规避静态分析工具对其真实功能的探测。
public static Boolean m45535a() {
try {
StackTraceElement[] stackTrace = Thread.currentThread().getStackTrace();
for (StackTraceElement element : stackTrace) {
String className = element.getClassName() + "#" + element.getMethodName();
if (className.toLowerCase().contains("hook") ||
className.toLowerCase().contains("xpose") ||
className.toLowerCase().contains("frida")) {
return true;
}
}
} catch (Exception e) {
e.printStackTrace();
}
return false;
}欺诈行为发生在隐藏的WebView中,这些WebView收集了全面的设备指纹数据,包括硬件规格、网络信息和GPU详情。
这些信息实现了精准定位,同时隐藏的界面会导航至由威胁行为者控制的套现域名,在用户毫无察觉或未进行任何操作的情况下生成欺诈性的广告曝光和点击。
谷歌此后已从Play商店中移除了所有已识别的SlopAds应用,用户可通过谷歌Play Protect获得自动保护,该功能会发出警告并阻止已知恶意应用的安装,即便这些应用来自第三方来源。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
