Google удалила 224 вредоносных приложения для Android, стоящих за масштабной кампанией по мошенничеству с рекламой

По данным нового отчета исследовательской и аналитической группы по кибербезопасности Satori Threat Intelligence американской компании Human, занимающейся технологиями кибербезопасности, была раскрыта масштабная кампания по мошенничеству с рекламой под названием «SlopAds».

Исследователи заявили, что более 224 вредоносных приложений, связанных с этой кампанией, были загружены из Google Play более 38 миллионов раз, прежде чем были обнаружены и удалены. Приложения не только скрывали свои сложные мошеннические действия с помощью методов обфускации и инъекции текста, но и обходили многие механизмы безопасности Google и другие инструменты защиты.

SlopAds не был локальным явлением, а был развёрнут по всему миру, затронув пользователей в 228 странах. Мошенническая система генерировала в среднем 2,3 млрд запросов на размещение рекламы в день, что привело к серьёзным потерям на рынке онлайн-рекламы. Наибольшая концентрация рекламных показов пришлась на США (30%), за которыми следуют Индия (10%) и Бразилия (7%).

Исследователи утверждают, что эти вредоносные приложения производятся массово и отличаются низким качеством, напоминая «AI slop» — нежелательный контент, создаваемый искусственным интеллектом. Этот термин также относится к магазину приложений и сервисов, связанных с искусственным интеллектом, которые находятся на управляющих серверах киберпреступной группировки, стоящей за этой кампанией.

От легального к токсичному в один клик

Создатели кампании SlopAds хитроумно разработали механизм, позволяющий приложению превращаться из «легитимного» в инструмент мошенничества сразу после его установки на устройство пользователя. Чтобы обойти проверку Google Play и защиту Android, они используют ряд технических уловок, чтобы скрыть своё вредоносное поведение до последней минуты.

Когда пользователь устанавливает приложение из Play Store, оно изначально работает как обычное приложение, без каких-либо признаков ненормальной работы. Но если пользователь заходит в приложение по рекламной ссылке, распространенной злоумышленником, установщик запускает вредоносный скрипт после прохождения ряда проверок.

Приложение определит, было ли оно установлено через Play Store или другой источник, и если «условие» выполняется, оно загрузит зашифрованный файл конфигурации, содержащий путь к модулю мошенничества, серверу вывода средств и фрагменту кода JavaScript, предоставленному злоумышленником.

Затем приложение загружает четыре на первый взгляд безобидных PNG-файла, которые представляют собой своего рода инъекцию данных. На самом деле, PNG-изображения содержат код или зашифрованные части APK-файла.

На целевом устройстве изображение декодируется и собирается заново, формируя вредоносный модуль. При активации модуль использует скрытый WebView для сбора информации об устройстве, эмулирует реальный доступ пользователя и переходит в контролируемую злоумышленником доменную сеть.

Эти домены выдают себя за игровые и новостные сайты, постоянно демонстрируя скрытые WebView, что ежедневно генерирует миллиарды фальшивых показов и кликов, превращая фальшивый трафик в реальный доход для мошенников.

Изощренные методы маскировки и контекстного срабатывания — вот что делает SlopAds столь сложным для обнаружения и столь опасным для экосистемы цифровой рекламы.

Как защитить себя от мошеннических приложений с рекламой

Хотя команда Human Satori Threat Intelligence пока не опубликовала подробный список 224 приложений, участвовавших в кампании SlopAds, хорошая новость заключается в том, что все они были удалены из Google Play.

Пользователям также не придется слишком беспокоиться о самостоятельной проверке, поскольку Google обновила Play Protect, встроенный уровень безопасности на Android, который теперь автоматически сканирует, предупреждает и запрашивает удаление при обнаружении вредоносных приложений на телефонах или планшетах.

Однако это не значит, что можно терять бдительность. Вредоносное рекламное ПО не только крадет данные или занимается мошенничеством с отображением рекламы, но и может привести к непредсказуемым последствиям.

Представьте, что ваш телефон весь день молча загружает серию случайных веб-сайтов, что приводит к расходу мобильного трафика, разрядке аккумулятора, нагреванию устройства и сокращению срока службы компонентов. Во многих случаях пользователи вынуждены менять свои устройства раньше времени только потому, что по ошибке установили эти, казалось бы, безобидные приложения.

Хотя SlopAds не так опасен, как другие типы вредоносных программ, специализирующихся на краже информации или получении контроля над устройствами, он все же демонстрирует тот факт, что пользователи, загружающие внешние или неизвестные приложения, подвергаются гораздо большему риску, чем при использовании только официальных приложений в магазине Google Play.

Для дополнительной защиты рассмотрите возможность установки надежного антивируса для Android вместе с Play Protect. Если вам нужна более комплексная защита от таких угроз, как хакеры, мошенники и даже кража личных данных, стоит также рассмотреть сервисы защиты цифровых данных.

Учитывая огромные суммы, которые киберпреступники могут получить от мошенничества с рекламой, SlopAds, безусловно, не последний в своём роде. Эксперты по безопасности полагают, что злоумышленники вскоре могут вернуться с аналогичной, более изощрённой кампанией.

И это лишь подтверждает знакомое, но никогда не устаревающее напоминание о том, что нужно быть осторожным с тем, что вы скачиваете, потому что один неверный клик может стоить дорого.