SlopAds: Google удалил 224 вредоносных приложения из Google Play за масштабное рекламное мошенничество

CyberSecureFox 🦊

Из Google Play удалены 224 вредоносных приложения, задействованные в рекламной схеме SlopAds. По оценке аналитиков Satori Threat Intelligence (Human), эти приложения генерировали до 2,3 млрд рекламных запросов в день и были установлены более чем 38 млн раз. Исследователи зафиксировали использование обфускации, стеганографии и динамической загрузки компонентов для обхода проверок Google и средств защиты на устройствах пользователей.

Масштаб кампании SlopAds и география заражений

Кампания имела глобальный охват — вредоносные пакеты загружались пользователями из 228 стран и регионов. Наибольшую долю показов составили США (примерно 30%), Индия (10%) и Бразилия (7%). По оценке Human, фенотип этих приложений указывает на «конвейерное» производство с упором на быстрый выпуск большого числа приложений, что характерно для современных схем монетизации и злоупотребления рекламными сетями.

Тактики уклонения: «двойная личность» и условное активационное поведение

Значимая особенность SlopAds — поведенческая маскировка. Если пользователь устанавливал приложение напрямую из Google Play, оно функционировало штатно и не проявляло вредоносной активности. Однако при установке по рекламной ссылке активировалась скрытая логика: приложение запрашивало конфигурацию через Firebase Remote Config, получая зашифрованный конфигурационный файл с адресами модулей мошенничества, инфраструктуры вывода средств и JavaScript-нагрузок.

От стеганографии до сборки «FatModule»

Прежде чем включить мошеннический функционал, код проверял, не запускается ли приложение в среде анализа (песочница, отладка, инструменты ИБ). При прохождении проверок выполнялась загрузка четырех PNG-изображений, внутри которых с помощью стеганографии были скрыты фрагменты вредоносного APK. На стороне устройства они расшифровывались и собирались в полноценный модуль, известный как FatModule.

Злоупотребление WebView и генерация фальшивого трафика

Активированный модуль использовал скрытые WebView для сбора параметров устройства и браузера, после чего открывал цепочки доменов, контролируемых операторами. Эти домены маскировались под игровую и новостную тематику и непрерывно грузили рекламу в «невидимых» WebView, создавая миллиарды ложных показов и кликов. По оценке исследователей, ежедневно генерировалось более 2 млрд мошеннических событий, что обеспечивало стабильный доход злоумышленникам.

Инфраструктура и намерение к масштабированию

Инфраструктура SlopAds включала множество управляющих серверов и свыше 300 промо-доменов, связанных с распространением и монетизацией. Наличие разветвленной экосистемы указывает на подготовку к расширению за пределы уже выявленных 224 приложений, что типично для прибыльных рекламных схем, стремящихся максимально диверсифицировать каналы трафика и усложнить атрибуцию.

Реакция Google и текущий статус угрозы

Google удалил все известные пакеты SlopAds из каталога, а Google Play Protect получил обновления для проактивного предупреждения пользователей, у которых подобные приложения могут быть установлены. Вместе с тем эксперты отмечают, что высокая степень изощренности, модульная архитектура и использование стеганографии повышают вероятность адаптации схемы и реинициализации кампаний под иными брендами.

Практические рекомендации по снижению риска

— Включить и не отключать Play Protect; регулярно проверять результаты сканирования в разделе «Безопасность».
— Избегать установки по «случайным» рекламным переходам; предпочитать страницы разработчика и проверенные каталоги.
— Оценивать сигналы риска: избыточные разрешения, всплески расхода батареи и трафика, постоянная активность в фоне.
— Организациям применять сетевой мониторинг аномалий HTTP(S)-трафика, политику минимально необходимых разрешений (MAP), контроль целостности и MDM/EDR для Android-парка.

Кампания SlopAds демонстрирует, как комбинация обфускации, стеганографии и условной активации позволяет длительно скрывать рекламное мошенничество в экосистеме мобильных приложений. Для пользователей и компаний приоритетом остается дисциплина обновлений, внимательность к цепочкам установки и постоянный мониторинг аномалий. Усиление Play Protect снижает риск, но устойчивость атакующих к блокировкам подразумевает необходимость постоянной осведомленности и соблюдения базовых практик кибергигиены.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.