Une opération massive de fraude publicitaire Android baptisée « SlopAds » a été interrompue après que 224 applications malveillantes sur Google Play aient été utilisées pour générer 2,3 milliards de demandes publicitaires par jour.
La campagne de fraude publicitaire a été découverte par l’équipe Satori Threat Intelligence de HUMAN, qui a signalé que les applications avaient été téléchargées plus de 38 millions de fois et utilisaient l’obscurcissement et la stéganographie pour dissimuler le comportement malveillant de Google et des outils de sécurité.
La campagne était mondiale, avec des utilisateurs installant les applications de 228 pays, et le trafic des SlopAds représentant 2,3 milliards de demandes d’enchères chaque jour. La plus forte concentration d’impressions publicitaires provenait des États-Unis (30%), suivis de l’Inde (10%) et du Brésil (7%).
« Les chercheurs ont surnommé cette opération « SlopAds » parce que les applications associées à la menace ont le vernis d’être produites en masse, à la » pente de l’IA », et en référence à une collection d’applications et de services sur le thème de l’IA hébergés sur le serveur C2 des acteurs de la menace », a expliqué HUMAN.
La campagne de fraude publicitaire SlopAds
La fraude publicitaire contenait plusieurs niveaux de tactiques d’évasion pour éviter d’être détectée par le processus d’examen des applications et le logiciel de sécurité de Google.
Si un utilisateur installait une application SlopAd de manière organique via le Play Store, sans provenir de l’une des publicités de la campagne, elle agirait comme une application normale, exécutant les fonctionnalités annoncées normalement.
Cependant, s’il était déterminé que l’application avait été installée par l’utilisateur cliquant en arrivant via l’une des campagnes publicitaires de l’auteur de la menace, le logiciel utilisait Firebase Remote Config pour télécharger un fichier de configuration crypté contenant des URL pour le module malveillant de fraude publicitaire, des serveurs de retrait et une charge utile JavaScript.
L’application déterminerait ensuite si elle a été installée sur l’appareil d’un utilisateur légitime, plutôt que d’être analysée par un chercheur ou un logiciel de sécurité.
Si l’application réussit ces vérifications, elle télécharge quatre images PNG qui utilisent la stéganographie pour dissimuler des morceaux d’un APK malveillant, qui est utilisé pour alimenter la campagne de fraude publicitaire.
Une fois téléchargées, les images ont été déchiffrées et réassemblées sur l’appareil pour former le malware complet « FatModule », qui a été utilisé pour mener la fraude publicitaire.
Une fois FatModule activé, il utilisait des vues Web masquées pour collecter des informations sur l’appareil et le navigateur, puis accédait aux domaines de fraude publicitaire (encaissement) contrôlés par les attaquants.
Ces domaines usurpaient l’identité de jeux et de nouveaux sites, diffusant des publicités en continu via des écrans WebView cachés pour générer plus de 2 milliards d’impressions et de clics publicitaires frauduleux par jour, créant ainsi des revenus pour les attaquants.
HUMAN affirme que l’infrastructure de la campagne comprenait de nombreux serveurs de commande et de contrôle et plus de 300 domaines promotionnels connexes, suggérant que les auteurs de la menace prévoyaient de s’étendre au-delà des 224 applications identifiées initialement.
Google a depuis supprimé toutes les applications SlopAds connues du Play Store, et Google Play Protect d’Android a été mis à jour pour avertir les utilisateurs de désinstaller celles qui se trouvent sur les appareils.
Cependant, HUMAN avertit que la sophistication de la campagne de fraude publicitaire indique que les acteurs de la menace adapteront probablement leur stratagème pour réessayer lors de futures attaques.