Эксперты нашли 224 вредоносных приложения в Google Play. Вы ведь не устанавливали их, верно?

HUMAN SlopAds Android WebView Google Play рекламное мошенничество стеганография
Эксперты нашли 224 вредоносных приложения в Google Play. Вы ведь не устанавливали их, верно?
HUMAN SlopAds Android WebView Google Play рекламное мошенничество стеганография

Масштабы операции поражают воображение, а жертвы до сих пор не знают правды.

image

Масштабная схема рекламного мошенничества под названием SlopAds скрывалась за витриной из сотен «безобидных» Android-приложений и разрослась до мировых масштабов. На днях команда Satori компании HUMAN описала , как 224 программы набрали суммарно 38 млн установок в 228 странах и территориях и в пике генерировали до 2,3 млрд заявок на участие в рекламных аукционах в сутки. Google удалил все обнаруженные приложения из Play, но сама тактика заслуживает отдельного разбора — она показывает, насколько изощрёнными стали мошеннические схемы с кликами и показами .

Сборка построена на условном запуске вредоносного поведения. После инсталляции приложение обращается к SDK атрибуции мобильного маркетинга и выясняет источник установки — органический переход из Play или попадание в магазин по рекламному объявлению. Только во втором случае включается мошенническое поведение: программа подтягивает с управляющего сервера модуль под названием FatModule, а при «чистом» источнике ведёт себя так, как описано на странице магазина. Такой фильтр создаёт для операторов схемы удобную обратную связь — риск наткнуться на анализ ниже, а фальшивый трафик тонет в легитимных кампаниях.

Доставка FatModule реализована нетривиально. Приложение получает четыре PNG-изображения, внутри которых стеганографически спрятаны части APK-файла. Компоненты расшифровываются и собираются на устройстве, после чего модуль собирает сведения об окружении — параметры девайса и браузера — и разворачивает невидимую активность в скрытых WebView: открывает страницы, прокручивает, инициирует клики и показ рекламы. Одним из способов монетизации выступают игровые и новостные сайты, где показ объявлений идёт крайне часто; пока невидимое окно не закрыто, счётчик показов и кликов растёт.

Сеть поддерживающих доменов выстроена в несколько уровней. Продвигающие приложения площадки сходятся на узле «ad2.cc», который выполняет роль Tier-2 C2. Всего выявлено порядка 300 доменных имён, связанных с распространением и управлением. На управляющем сервере исследователи нашли ИИ-сервисы с «говорящими» названиями — StableDiffusion, AIGuide, ChatGLM, — что намекает на конвейерный характер производства контента и приложений. По данным HUMAN, основной поток трафика приходился на США — около 30%, затем следовали Индия — 10% и Бразилия — 7%.

Схема дополнительно маскируется за счёт многоуровневой обфускации, а условное выполнение по источнику установки делает отладку затруднительной. В результате рекламные платформы и антифрод-системы получают смесь реальных и поддельных сигналов, где второй тип намеренно запускается лишь тогда, когда вероятность присутствия аналитика минимальна.

HUMAN ранее отмечала и другую похожую схему — IconAds с 352 Android-приложениями , — что подтверждает тенденцию к быстрому масштабированию подобных операций. В случае SlopAds очистка витрины в Play остановила распространение, но выявленные техники — стеганография, скрытые браузерные контейнеры, условная активация по атрибуции — уже стали частью арсенала промышленного фрода.