Büyük bir reklam sahtekarlığı ve dublajlı dolandırıcılık operasyonu Eğimli 228 ülke ve bölgede 38 milyon indirme çekerek 224 uygulama kümesi yayınladı.
Hacker Tehditi ve Araştırma Ekibi, “Bu uygulamalar sahtekarlık yüklerini steganografi kullanarak sunuyor ve aktöre ait nakit sitelerini tehdit etmek için gezinmek için gizli web görünümleri oluşturuyor.” Dedi.
“Slapads” adı, uygulamaların olası olarak üretilen doğasına ve Stable ve Control (C2) sunucusunda tehdit aktörü tarafından barındırılan Stabliffusion, Aiguide ve ChatGLM gibi yapay zeka (AI) temalı hizmetlerin kullanımına bir baş sallamadır.
Şirket, kampanyanın zirvede günde 2,3 milyar teklif talebini oluşturduğunu ve Slalads uygulamalarından gelen trafiğin çoğunlukla ABD (%30), Hindistan (%10) ve Brezilya’dan (%7) kaynaklandığını söyledi. Google, o zamandan beri tüm rahatsız edici uygulamaları Play Store’dan kaldırdı ve tehdidi etkili bir şekilde bozdu.
Etkinliği öne çıkaran şey, Slalads ile ilişkili bir uygulama indirildiğinde, doğrudan Play Store’dan (yani organik olarak) indirilip indirilmediğini kontrol etmek için bir mobil pazarlama ilişkilendirme SDK’sını veya oyun mağazası listesine (IE, Organik olmayan) bir reklamı tıklatan bir kullanıcının sonucu olup olmadığını kontrol etmek için sorgular.
Hileli davranış, yalnızca bir reklam tıklamasından sonra uygulamanın indirildiği senaryolarda başlatılır ve bu da reklam sahtekarlığı modülü Fatmodule’u C2 sunucusundan indirmesine neden olur. Öte yandan, başlangıçta yüklenmişse, uygulama App Store sayfasında reklamı yapıldığı gibi davranır.
İnsan araştırmacıları, “Belirli koşullar altında sadece sahtekarlık yapan uygulamalar geliştirmek ve yayınlamaktan, şaşkınlık katmanı üzerine katman eklemeye, dijital reklam ekosistemine yönelik tehditlerin sadece sofistike büyüdüğü fikrini güçlendiriyor.” Dedi.
“Bu taktik, tehdit aktörleri için daha eksiksiz bir geri bildirim döngüsü yaratıyor ve sahtekarlığı sadece cihazın güvenlik araştırmacıları tarafından incelenmediğine inanmak için bir nedeni varsa tetikliyor. Kötü amaçlı trafiği meşru kampanya verilerine harmanlıyor ve tespiti karmaşıklaştırıyor.”
Fatmodule, APK’yı gizleyen dört PNG görüntü dosyası aracılığıyla teslim edilir, bu da daha sonra şifre çözülür ve cihaz ve tarayıcı bilgilerini toplamak için yeniden monte edilir ve ayrıca gizli webViews kullanarak reklam sahtekarlığı yapar.
İnsan araştırmacıları, “Slopads için bir para akımı mekanizması, HTML5 (H5) oyunu ve tehdit aktörlerinin sahip olduğu haber web siteleridir.” Dedi. “Bu oyun siteleri reklamları sık sık gösterir ve sitelerin yüklendiği web görünümü gizlendiğinden, siteler web görüşü kapanmadan önce çok sayıda reklam izleniminden ve tıklamadan para kazanabilir.”
Slopads uygulamalarını tanıtan alan adlarının başka bir etki alanına geri döndüğü bulunmuştur, AD2[.]Tier-2 C2 sunucusu olarak hizmet veren CC. Toplamda, bu tür uygulamaların reklamını yapan tahmini 300 alan tanımlanmıştır.
Geliştirme, insanın Iconads kodlu bir reklam sahtekarlığı planının bir parçası olarak başka bir 352 Android uygulamasını işaretlemesinden iki aydan biraz fazla bir süre sonra geliyor.
Ciso, Gavin Reid, “Slopads, gizli, koşullu sahtekarlık yürütme ve hızlı ölçeklendirme yetenekleri de dahil olmak üzere mobil reklam sahtekarlığının gelişen sofistike olmasını vurgulamaktadır.” Dedi.