“Slopads” olarak adlandırılan sofistike bir mobil reklam sahtekarlığı operasyonu, 228 ülke ve bölgede toplu olarak 38 milyondan fazla indirme toplayan 224 kötü amaçlı uygulamayla Google Play Store’a sızdı.
Kampanya, tespit mekanizmalarından kaçınırken hileli reklam yükleri sağlamak için ileri steganografi teknikleri ve çok katmanlı şaşkınlık kullanarak bugüne kadar keşfedilen en kapsamlı mobil sahtekarlık şemalarından birini temsil ediyor.
Slotads’ın arkasındaki tehdit aktörleri, kullanıcılar yalnızca organik oyun mağazası ziyaretleri yerine uygulamaları indirdiğinde etkinleştirilen koşullu bir sahtekarlık sistemi uygulayarak dikkate değer bir gelişmişlik gösterdi.
Bu seçici aktivasyon mekanizması, kötü niyetli uygulamaların, sıradan kullanıcılar ve otomatik güvenlik sistemleri için meşru görünürken, platformdaki varlıklarını uzun süre korumasına yardımcı oldu.
İnsan güvenliği analistleri, reklam sahtekarlığı savunma çözümü verilerindeki anormal kalıpları araştırırken operasyonu tanımladılar.
Araştırmacılar, slapads uygulamalarının en yoğun operasyonda günlük olarak yaklaşık 2,3 milyar hileli teklif talebi ürettiğini, trafik dağılımı ABD (%30), Hindistan (%10) ve Brezilya’da (%7) yoğun bir şekilde yoğunlaştığını keşfettiler.
.webp)
Kampanyanın küresel erişimi ve büyük ölçekleri, tehdit oyuncuslarının sofistike altyapısı ve operasyonel yeteneklerinin altını çiziyor.
Kötü amaçlı uygulamalar, “Fatmodule” adlı birincil dolandırıcılık modülünü indirmek için URL’ler içeren şifreli yapılandırma verilerini almak için meşru bir Google geliştirme aracı olan Firbase Remote Config’i kullandı.
Güvenilir kalkınma platformlarının bu kötüye kullanılması, siber suçluların kötü niyetli faaliyetlerini maskelemek ve güvenlik çözümleri tarafından tespit etmekten kaçınmak için meşru hizmetleri nasıl artırdığını göstermektedir.
Gelişmiş steganografik yük dağıtım sistemi
Slingads, mobil kötü amaçlı yazılım işlemlerinin gelişen sofistike olmasını gösteren özellikle yenilikçi bir yük dağıtım mekanizması kullandı.
Sistem, görünüşte zararsız PNG görüntü dosyalarında kötü niyetli kodu gizlemek için dijital steganografi kullandı ve yürütülebilir dosya analizine odaklanan geleneksel güvenlik tarama yöntemlerini etkili bir şekilde atladı.
.webp)
Enfekte bir uygulama ilk doğrulama kontrollerini geçtiğinde, komut ve kontrol sunucuları şifreli zip arşivleri aracılığıyla özel olarak hazırlanmış dört PNG dosyası teslim etti.
Bu görüntüler, şifre çözüldüğünde ve yeniden birleştirildiğinde, sahtekarlık operasyonlarının yürütülmesinden sorumlu tam fatmodül oluşturan gizli APK bileşenleri içeriyordu.
Steganografik yaklaşım, kötü niyetli yükün, geleneksel kötü amaçlı yazılım algılama algoritmalarını tetiklemeden ağ güvenlik filtrelerini ve uygulama deposu tarama sistemlerini geçmesine izin verdi.
Fatmodule, güvenlik araştırmacıları tarafından yaygın olarak kullanılan kanca çerçeveleri, Xposed modülleri ve Frida enstrümantasyon araçlarını özel olarak arayan hata ayıklama aracı algılama dahil olmak üzere birden fazla anti-analiz özelliği içeriyordu.
Ek olarak, modül kod tabanı boyunca dize şifrelemesi kullandı ve statik analiz araçlarından gerçek işlevselliğini gizlemek için paketlenmiş yerel kod kullanıldı.
public static Boolean m45535a() {
try {
StackTraceElement[] stackTrace = Thread.currentThread().getStackTrace();
for (StackTraceElement element : stackTrace) {
String className = element.getClassName() + "#" + element.getMethodName();
if (className.toLowerCase().contains("hook") ||
className.toLowerCase().contains("xpose") ||
className.toLowerCase().contains("frida")) {
return true;
}
}
} catch (Exception e) {
e.printStackTrace();
}
return false;
}Sahtekarlık yürütme, donanım özellikleri, ağ bilgileri ve GPU ayrıntıları dahil olmak üzere kapsamlı cihaz parmak izi verileri toplayan gizli web görüntülemeleri içinde meydana geldi.
Bu bilgiler, gizli arayüzler, aktör kontrollü nakit alanlarını tehdit ederken, kullanıcı farkındalığı veya etkileşimi olmadan hileli reklam izlenimleri ve tıklamalar oluştururken, kesin hedeflemeyi etkinleştirdi.
Google, o zamandan beri tanımlanmış tüm Slalads uygulamalarını Play Store’dan kaldırdı ve kullanıcılar, üçüncü taraf kaynaklardan bile bilinen kötü amaçlı uygulamalara karşı uyaran ve kurulumunu engelleyen Google Play Protect aracılığıyla otomatik koruma alıyor.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free