З Google Play видалено 224 шкідливі додатки, задіяні в рекламній афері SlopAds. За оцінкою Satori Threat Intelligence компанії Human Security, цей пул генерував до 2,3 млрд рекламних запитів на добу і сумарно набрав понад 38 млн встановлень. Оператори схеми застосовували обфускацію, стеганографію та динамічне завантаження компонентів, щоб обійти перевірки Google і засоби захисту на пристроях.
Масштаб рекламного шахрайства SlopAds і географія заражень
Кампанія мала глобальний масштаб — інсталяції фіксувалися у 228 країнах та регіонах. Найбільша частка трафіку припадала на США (близько 30%), Індію (10%) та Бразилію (7%). За фенотипом пакети виглядають як «конвеєрна» збірка з фокусом на швидкий випуск десятків простих застосунків — типовий підхід для монетизації через зловживання рекламними мережами.
«Подвійна особистість»: умовна активація залежно від джерела інсталяції
Ключова тактика ухилення — поведінкова маскування. Якщо додаток встановлено безпосередньо з Google Play, він працює штатно. Однак інсталяція через рекламне посилання активує приховану логіку: клієнт звертається до Firebase Remote Config і отримує зашифрований конфіг‑файл із адресами модулів шахрайства, інфраструктури виведення коштів і JavaScript-навантажень.
Стеганографія і збірка FatModule з PNG‑зображень
Перед активацією шахрайських функцій код перевіряє ознаки аналізу (пісочниця, налагодження, інструменти ІБ). Після проходження перевірок завантажуються чотири PNG‑зображення, всередині яких за допомогою стеганографії приховано фрагменти шкідливого APK. На пристрої ці фрагменти розшифровуються і збираються в повноцінний модуль, який дослідники назвали FatModule. Простими словами, стеганографія — це метод ховання даних у звичайних файлах (наприклад, у картинках), що ускладнює їх виявлення під час перевірок.
Зловживання WebView і масова генерація фейкового трафіку
Після активації FatModule задіює приховані WebView (вбудований браузерний компонент Android), збирає параметри пристрою та браузера і проходить ланцюжки контрольованих доменів. Сторінки маскуються під ігрові та новинні ресурси та безперервно завантажують рекламу в «невидимих» WebView, формуючи мільярди фіктивних показів та кліків. За оцінкою дослідників, щодня генерувалося понад 2 млрд шахрайських подій, що забезпечувало стабільний дохід зловмисникам.
Інфраструктура SlopAds і готовність до масштабування
Схема спиралася на розгалужену інфраструктуру: десятки керівних серверів і понад 300 промо‑доменів, пов’язаних із розповсюдженням і монетизацією. Така архітектура свідчить про намір масштабувати кампанію за межі вже ідентифікованих 224 додатків і ускладнювати атрибуцію трафіку.
Реакція Google і поточний рівень ризику
Google видалив усі відомі пакети SlopAds із каталогу, а Google Play Protect оновлено для проактивного виявлення подібних загроз на пристроях користувачів. Водночас високий рівень обфускації, модульна побудова та використання стеганографії підвищують імовірність реінкарнації кампанії під іншими брендами або пакетами.
Практичні поради з кібербезпеки для користувачів і організацій
Що робити користувачам Android
Не вимикайте Play Protect і періодично перевіряйте результати сканування у розділі «Безпека». Це допоможе виявляти додатки з прихованими модулями.
Уникайте інсталяцій із випадкових рекламних переходів. Віддавайте перевагу сторінкам перевірених розробників і уважно переглядайте відгуки та дозволи.
Стежте за індикаторами ризику: надмірні запити до дозволів, нетиповий розхід батареї чи трафіку, постійна активність у фоні — усе це привід перевірити пристрій.
Що варто впроваджувати бізнесу
Застосовуйте мережевий моніторинг аномалій у HTTP(S)‑трафіку, політику мінімально необхідних дозволів (MAP), контроль цілісності застосунків і MDM/EDR для корпоративного парку Android‑пристроїв.
Проводьте регулярні аудити мобільних додатків, уникайте інсталяцій поза корпоративними сторами, а також навчайте співробітників безпечним сценаріям інсталяції.
Кейс SlopAds наочно демонструє, як поєднання умовної активації, стеганографії та динамічних модулів дозволяє тривалий час приховувати рекламне шахрайство в екосистемі Android. Пильність під час інсталяції, дисципліна оновлень і безперервний моніторинг аномалій залишаються найкращими засобами захисту. Перевірте свої пристрої, увімкніть Play Protect та перегляньте дозволи вже встановлених додатків — це прості кроки, що суттєво знижують ризики.
