Siber suç, sahtekarlık yönetimi ve siber suç
Steganografi, mobil pazarlama ilişkisi, reklam sahtekarlığı için konuşlandırılan kod gizleme
Rashmi Ramesh (Rashmiramesh_) •
16 Eylül 2025
Reklam sahtekarlığı yapmak için Android mobil uygulamaları kullanan bir siber suç ekibi, etkinliğini gizlemek için alışılmadık acı çekti, indirilebilir dijital görüntülerde kötü amaçlı kodları gizledi ve uygulamalarını Google Play Store aracılığıyla organik olarak bulan kullanıcıların alt kümesini enfekte etmekten uzak durdu.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
İnsan güvenliğindeki araştırmacılar Salı günü yaptığı açıklamada, kampanyanın arkasındaki tehdit aktörünün dünya çapında 38 milyon kolektif indirme ile 224 uygulama ve büyüyen bir koleksiyon işlettiğini gördüklerini söyledi. Kampanyayı destekleyen uygulamalar, üretken yapay zeka tarafından çalkalanan içeriğin düşük kaliteli bir parlaklık gösterdiği için “slopads” kampanyasını adlandırdılar. Uygulamaların çoğunda da bir AI teması vardı.
Zirvede, Slalads kampanyası günde 2,3 milyar çevrimiçi reklam teklifini oluşturdu. İnsan güvenliği, Google Play ile temas halinde olduğunu ve yüklendikçe yeni uygulamaları kaldırmaya yardımcı olduğunu söyledi.
Uygulamalar gerçek amaçlarını gizlemek için bir dizi taktik kullanır. Birincisi, kullanıcının doğrudan Play Store’dan bir uygulamayı indirip indirmediğini veya kullanıcının uygulamayı indirmek için kullanıcıyı Play Store’a götüren bir dijital reklamı ilk kez tıklayıp tıklamadığını tespit etmektir. Slotads tehdit oyuncusu, tehdit aktörlerinin erken tespitten kaçınmasına yardımcı olan bir yaklaşım olan sahtekarlık için organik olarak indirilen uygulamaları kullanmıyor.
Kontrolü geçen uygulamalar bir komut ve kontrol sunucusuyla iletişime geçin ve png Şifreden ve yeniden birleştirildiğinde, dolandırıcılığı yöneten modülü oluşturan ve gizli web tarayıcılarındaki reklamları sistematik olarak tıklayan bir Android paket kiti içeren görüntü dosyaları. Teknik, suçluların sadece grafik dosyalarını aktardığı görülürken karmaşık sahtekarlık yetenekleri sunmalarına izin verdi.
İnsan Güvenliği Tehdit İstihbarat Başkan Yardımcısı Lindsay Kaye, Slalads kampanyasındaki gizleme seviyesinin, değirmen reklam sahtekarlık kampanyalarından öne çıktığını söyledi. “Birçok tehdit aktörü genel olarak şaşkınlık veya çok aşamalı kötü amaçlı yazılımları içeriyor, ancak bu, son zamanlarda reklam sahtekarında gördüğümüz bir şey olmayan steganografi de dahil olmak üzere bu birçok katmandan ilk kez gördük.”
Slalads uygulamaları, bir mobil pazarlama ilişkilendirme platformunu yeniden düzenleyerek indirme durumunu – organik veya reklam odaklı – kontrol etti. Bir uygulama reklamını tıklayan kullanıcılar, Slalads operatörleri tarafından görüntülenebilen bir etiket oluşturdu. Kaye, “Bu, sofistike olmak açısından, bu mevcut aracı kampanyalarının bir parçası olarak nasıl kullanılacağını gören bir tehdit oyuncusunun özel bir yardımcı programdan daha kolay fark edilmeyebilecek ilginç bir örneğidir.” Dedi.
Uygulamalar ayrıca gerçek amaçlarını ortaya çıkarabilecek hata ayıklama araçlarını aradı ve güvenlik araştırmacıları tarafından yaygın olarak kullanılan emülatörler veya değiştirilmiş cihazlar için kontroller içeriyordu. Dize şifrelemesi ve paketlenmiş yerel kod, ters mühendislik girişimlerini hayal kırıklığına uğratmak için tasarlanmış ek gizleme katmanları sağladı.
Sahtekarlık mekanizması, kurban cihazlarında görünmez web tarayıcıları olarak işlev gören gizli web görünümleri aracılığıyla çalıştı. Bu gizli tarayıcılar, genellikle HTML5 oyunları ve reklamları barındıran haber sitelerine, ceza kontrolündeki para yükü web sitelerine gitti. WebViews, nakil sitesi sahipleri için hileli gelir akışları oluşturmak için görüntülenebilir reklamları sistematik olarak tıklamadan önce ayrıntılı cihaz ve tarayıcı bilgileri topladı.
İnsan güvenliğinde tehdit istihbaratının üst düzey yöneticisi Joao Santos, “Gizli olma seviyesi oldukça karmaşık” dedi. Uygulamaların, sahtekarlık modülünü indirmek, cashout alanlarına bağlanmak ve tıklama sahtekarlığına güç sağlamak için JavaScript kodu teslim etmek için URL’ler içeren şifreli yapılandırmaları nasıl aldığını açıkladı.
İnsan, birçoğu katmanlı komut ve kontrol sunucularına işaret eden aynı ağa 300’den fazla ilgili tanıtım alanını bağladı. Analistler, operatörlerin trafiği hızlı bir şekilde artırdığını ve tanımlanan 224 uygulamanın etkinliğin sadece bir kısmını temsil edebileceğini gösterdiğini söyledi.
Cashout mekanizması, yönlendiren verileri sterilize eden ve hileli taleplerin daha meşru görünmesini sağlayan birden fazla alan aracılığıyla hızlı yeniden yönlendirmeye dayanıyordu. Yeniden yönlendirmeler, suçlular için otomatik tıklamanın oluşturulan geliri olduğu son hedef web sitelerine ulaşmadan önce izleme parametrelerini birden çok kez değiştirdi.
Google, tanımlanmış tüm Slalads uygulamalarını Play Store’dan kaldırdı. Şirketin Play Protect System artık resmi App Store dışındaki kaynaklardan yüklendiğinde bile benzer davranış kalıpları sergileyen uygulamalar hakkında otomatik olarak kullanıcıları algılıyor ve uyarıyor. Mevcut kurulumlara sahip kullanıcılar, kötü amaçlı yazılımı kaldırma konusunda uyarılar ve istemler alır.
Bu özel ağ bozulmuş olsa da, araştırmacılar slopadlarda gösterilen tekniklerin yeniden ortaya çıkmasını bekliyorlar. Kaye, “Neredeyse her zaman bu kedi ve fare dinamiğinin analiz ettiğimiz herhangi bir kampanyada ortaya çıktığını görüyoruz, çünkü finansal olarak motive edilen tehdit aktörleri para kazanmak için.” Dedi.