Из Google Play удалены 224 вредоносных приложения, задействованные в рекламной схеме SlopAds. По оценке аналитиков Satori Threat Intelligence (Human), эти приложения генерировали до 2,3 млрд рекламных запросов в день и были установлены более чем 38 млн раз. Исследователи зафиксировали использование обфускации, стеганографии и динамической загрузки компонентов для обхода проверок Google и средств защиты на устройствах пользователей.
Масштаб кампании SlopAds и география заражений
Кампания имела глобальный охват — вредоносные пакеты загружались пользователями из 228 стран и регионов. Наибольшую долю показов составили США (примерно 30%), Индия (10%) и Бразилия (7%). По оценке Human, фенотип этих приложений указывает на «конвейерное» производство с упором на быстрый выпуск большого числа приложений, что характерно для современных схем монетизации и злоупотребления рекламными сетями.
Тактики уклонения: «двойная личность» и условное активационное поведение
Значимая особенность SlopAds — поведенческая маскировка. Если пользователь устанавливал приложение напрямую из Google Play, оно функционировало штатно и не проявляло вредоносной активности. Однако при установке по рекламной ссылке активировалась скрытая логика: приложение запрашивало конфигурацию через Firebase Remote Config, получая зашифрованный конфигурационный файл с адресами модулей мошенничества, инфраструктуры вывода средств и JavaScript-нагрузок.
От стеганографии до сборки «FatModule»
Прежде чем включить мошеннический функционал, код проверял, не запускается ли приложение в среде анализа (песочница, отладка, инструменты ИБ). При прохождении проверок выполнялась загрузка четырех PNG-изображений, внутри которых с помощью стеганографии были скрыты фрагменты вредоносного APK. На стороне устройства они расшифровывались и собирались в полноценный модуль, известный как FatModule.
Злоупотребление WebView и генерация фальшивого трафика
Активированный модуль использовал скрытые WebView для сбора параметров устройства и браузера, после чего открывал цепочки доменов, контролируемых операторами. Эти домены маскировались под игровую и новостную тематику и непрерывно грузили рекламу в «невидимых» WebView, создавая миллиарды ложных показов и кликов. По оценке исследователей, ежедневно генерировалось более 2 млрд мошеннических событий, что обеспечивало стабильный доход злоумышленникам.
Инфраструктура и намерение к масштабированию
Инфраструктура SlopAds включала множество управляющих серверов и свыше 300 промо-доменов, связанных с распространением и монетизацией. Наличие разветвленной экосистемы указывает на подготовку к расширению за пределы уже выявленных 224 приложений, что типично для прибыльных рекламных схем, стремящихся максимально диверсифицировать каналы трафика и усложнить атрибуцию.
Реакция Google и текущий статус угрозы
Google удалил все известные пакеты SlopAds из каталога, а Google Play Protect получил обновления для проактивного предупреждения пользователей, у которых подобные приложения могут быть установлены. Вместе с тем эксперты отмечают, что высокая степень изощренности, модульная архитектура и использование стеганографии повышают вероятность адаптации схемы и реинициализации кампаний под иными брендами.
Практические рекомендации по снижению риска
— Включить и не отключать Play Protect; регулярно проверять результаты сканирования в разделе «Безопасность».
— Избегать установки по «случайным» рекламным переходам; предпочитать страницы разработчика и проверенные каталоги.
— Оценивать сигналы риска: избыточные разрешения, всплески расхода батареи и трафика, постоянная активность в фоне.
— Организациям применять сетевой мониторинг аномалий HTTP(S)-трафика, политику минимально необходимых разрешений (MAP), контроль целостности и MDM/EDR для Android-парка.
Кампания SlopAds демонстрирует, как комбинация обфускации, стеганографии и условной активации позволяет длительно скрывать рекламное мошенничество в экосистеме мобильных приложений. Для пользователей и компаний приоритетом остается дисциплина обновлений, внимательность к цепочкам установки и постоянный мониторинг аномалий. Усиление Play Protect снижает риск, но устойчивость атакующих к блокировкам подразумевает необходимость постоянной осведомленности и соблюдения базовых практик кибергигиены.