228 ülke ve bölgede toplu olarak 38 milyondan fazla indirme toplayan 224 Android uygulamalarından oluşan küresel bir reklam sahtekarlığı ve tıklama sahtekarlığı operasyonu.
AI temalı kamu hizmetleri kisvesi altında, bu uygulamalar, tehdit aktöre ait kastettiler için milyarlarca reklam izlenimi ve tıklamalar üreten bir sahtekarlık yükü sunmak için steganografi ve gizli web görünümleri gibi gelişmiş gizleme teknikleri kullanır.
Slalads altyapısı, operasyonu daha da genişletmeye hazırlanan iyi kaynaklı bir tehdit aktörünü gösteren birden fazla komut ve kontrol (C2) sunucularına ve özel promosyon alanlarına dayanmaktadır.
Zirvede, Slopads günde 2,3 milyar teklif talebi üretti ve trafik ağırlıklı olarak ABD (yüzde 30), Hindistan (yüzde 10) ve Brezilya’dan (yüzde 7) kaynaklandı.
Promosyon alanları, kullanıcıları Google Play Store listelerine yönlendirmenin ötesinde çok az amaca hizmet eder ve bu tür 300’den fazla alan bu tehdide bağlıdır.
Rapor montajı sırasında, Slalads geliştiricileri araç setlerini uyarlamaya devam ettiler ve Google Play’e gönderilmek üzere yeni uygulamalar sahneye koyarak bu kampanyanın kalıcılığının altını çizdi.
Google, o zamandan beri 224 tanımlanmış uygulamanın tümü oyun mağazasından kaldırdı. Kullanıcılar, Sertifikalı Android yapılarını çalıştıran tüm etkilenen cihazların varsayılan olarak korunduğunu kabul ederek, slopad’larla ilişkili-slopadlarla ilişkili davranışları ve engelleri engelleyen Google Play Protect’ten yararlanır.
Yeni şaşkınlık taktikleri
Slopads koşullu sahtekarlık mantığı için öne çıkıyor: Uygulamalar reklam gerçekleştirin ve dolandırıcılığı tıklayın, yalnızca organik olmayan bir yükleme yolu tespit ettiklerinde-bir kullanıcı bir reklam tıklamasıyla oynatma mağazasına yönlendirildiğinde.
Slopads operasyonunun arkasındaki tehdit aktörleri, pistlerini örtmek ve siber güvenlik topluluğunun planın nasıl çalıştığını açmasını ve anlamasını zorlaştırmak için büyük ağrılar aldı.
Bu, yükleme yönlendiricisindeki kampanya etiketlerini tespit etmek için bir mobil pazarlama ilişkilendirme platformu kullanılarak elde edilir. Organik olarak yüklü uygulamalar normal davranır ve yalnızca reklamı yapılan işlevselliği görüntüler.
Organik olmayan bir kurulum onaylandıktan sonra, uygulama Firebase uzaktan yapılandırmadan şifreli bir yapılandırma getirir:
- Reklam sahtekarlığı modülünü (“Fatmodule”) indirmek için C2 URL’si.
- HTML5 nakit alanlarının bir listesi.
- Tıklama sahtekarlığı için bir JavaScript yükü.
C2 sunucusu tarafından sunulan dört PNG dosyası, dijital steganografi ile Fatmodule APK’yı gizler.
Bu dosyalar kısmen sıradan görüntülerdir; Kalan baytlar, uygulamanın cihazda yeniden birleştirdiği fatmodülün şifreli dilimlerini oluşturur.
Birden fazla gizleme katmanı-string şifrelemesi, paketlenmiş yerel kod ve anti-kötü niyetli kontroller-daha da artar.
Gizli web görünümlerinde dolandırıcılık ortaya çıkıyor. Başlangıçta, bir WebView sessizce, kum havuzlu ortamlardan kaçınmak için emülatör veya kök algılama kontrolleri de dahil olmak üzere ayrıntılı cihaz ve tarayıcı verilerini hasat eden bir URL’ye gider.
Sonraki web görünümleri, tehdit aktöre ait alanlar, görüntülenebilir reklamlar otomatik olarak tıkanan ve hileli izlenimler üreten sanitize yönlendirme zincirlerini takip eder.
Belirli para çekme sitelerinde, WebView’ı kapatmadan önce reklam yükünü en üst düzeye çıkarmak ve yoğunluğu tıklamak için HTML5 oyunları veya haber portalları kullanır.
Tespit, bozulma ve sürekli izleme
Satori araştırmacıları, insanın reklam sahtekarlığı savunma telemetrisindeki anomalileri araştırırken slopadları ortaya çıkardılar.
Etki alanı kümeleme ve tanıtım etkinliği, analistlerin kapsamlı C2 ve trafik sürüş ağını haritalamasına izin verdi.
Google Play Store ekibi ile işbirliği, yeni Slalads uygulamalarının ortaya çıktıkça hızlı bir şekilde yayılmasına yol açtı.
İnsanın reklam sahtekarlığı savunmasını ve reklam tıklama savunma çözümlerinden yararlanan müşteriler, gerçek zamanlı tespit ve hileli teklif taleplerinin ve tıklamalarının hafifletilmesiyle Slopads etkisinden yalıtılır.
Satori, yeni uygulama sunumlarını, C2 altyapı değişikliklerini ve uyarlanabilir taktikleri izlemeye devam ediyor.
Operasyonun sofistike ve aktif gelişimi göz önüne alındığında, Slopads’ın arkasındaki tehdit aktörlerinin yöntemlerini geliştirmeleri ve devam eden yasadışı gelir arayışında uygulama portföylerini genişletmeleri bekleniyor.
Slotads kampanyası, dijital reklam ekosistemini hedefleyen tehditlerin artan karmaşıklığının altını çiziyor.
Atıf platformlarının yenilikçi kötüye kullanılması ve çok katmanlı şaşkınlık yoluyla, rakipler, gelişmiş, davranış odaklı sahtekarlık savunmalarına yönelik kritik ihtiyacı vurgulamak için sahtekâr trafiği meşru kullanıcı davranışıyla harmanlayabilirler.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.