Một hoạt động gian lận quảng cáo Android quy mô lớn đă bị phá vỡ sau khi 224 ứng dụng độc hại trên Google Play bị gỡ bỏ.
Một hoạt động gian lận quảng cáo Android quy mô lớn có tên "SlopAds" đă bị phá vỡ sau khi 224 ứng dụng độc hại trên Google Play được sử dụng để tạo ra 2,3 tỷ yêu cầu quảng cáo mỗi ngày.
Nhóm Satori Threat Intelligence của HUMAN đă phát hiện ra chiến dịch gian lận quảng cáo này. Nhóm này báo cáo rằng các ứng dụng đă được tải xuống hơn 38 triệu lần và sử dụng kỹ thuật che giấu và viết chữ ẩn để che giấu hành vi độc hại khỏi Google và các công cụ bảo mật.
Gần 224 ứng dụng độc hại liên quan đến chiến dịch gian lận quảng cáo SlopAds.
Chiến dịch này được triển khai trên toàn thế giới, với người dùng cài đặt ứng dụng từ 228 quốc gia và lưu lượng truy cập SlopAds chiếm 2,3 tỷ yêu cầu đặt giá thầu mỗi ngày. Lượng hiển thị quảng cáo tập trung cao nhất đến từ Hoa Kỳ (30%), tiếp theo là Ấn Độ (10%) và Brazil (7%).
"Các nhà nghiên cứu gọi hoạt động này là 'SlopAds' v́ các ứng dụng liên quan đến mối đe dọa này có vẻ ngoài được sản xuất hàng loạt, giống như 'AI slop', và ám chỉ đến bộ sưu tập các ứng dụng và dịch vụ theo chủ đề AI được lưu trữ trên máy chủ C2 của tác nhân đe dọa", HUMAN giải thích.
Các ứng dụng Android liên quan đến chiến dịch gian lận quảng cáo SlopAds Nguồn: HUMAN Satori
Gian lận quảng cáo cực kỳ tinh vi
Gian lận quảng cáo bao gồm nhiều cấp độ chiến thuật trốn tránh để tránh bị phát hiện bởi quy tŕnh đánh giá ứng dụng và phần mềm bảo mật của Google.
Nếu người dùng cài đặt ứng dụng SlopAd một cách tự nhiên thông qua Cửa hàng Play, mà không phải từ một trong những quảng cáo của chiến dịch, th́ ứng dụng đó sẽ hoạt động như một ứng dụng b́nh thường, thực hiện chức năng được quảng cáo như b́nh thường.
Quy tŕnh làm việc của phần mềm độc hại gian lận quảng cáo SlopAds Nguồn: HUMAN SATORI
Tuy nhiên, nếu xác định được ứng dụng được cài đặt bởi người dùng nhấp vào liên kết đến thông qua một trong các chiến dịch quảng cáo của tác nhân đe dọa, phần mềm sẽ sử dụng Firebase Remote Config để tải xuống tệp cấu h́nh được mă hóa có chứa URL cho mô-đun phần mềm độc hại gian lận quảng cáo, máy chủ rút tiền và tải JavaScript.
Sau đó, ứng dụng sẽ xác định xem nó có được cài đặt trên thiết bị của người dùng hợp pháp hay không, thay v́ được phân tích bởi nhà nghiên cứu hoặc phần mềm bảo mật.
Nếu ứng dụng vượt qua các bước kiểm tra này, nó sẽ tải xuống bốn h́nh ảnh PNG sử dụng kỹ thuật ẩn chữ để che giấu các phần của APK độc hại, được dùng để thực hiện chính chiến dịch gian lận quảng cáo.
Mă độc ẩn trong h́nh ảnh bằng kỹ thuật ẩn chữ Nguồn: HUMAN Satori
Sau khi tải xuống, h́nh ảnh được giải mă và tái lập trên thiết bị để tạo thành phần mềm độc hại "FatModule" hoàn chỉnh, được sử dụng để thực hiện gian lận quảng cáo.
Sau khi FatModule được kích hoạt, nó sẽ sử dụng WebView ẩn để thu thập thông tin thiết bị và tŕnh duyệt, sau đó điều hướng đến các tên miền gian lận quảng cáo (rút tiền) do kẻ tấn công kiểm soát.
Việc này khiến thiết bị liên tục bị tiêu hao tài nguyên bao gồm lưu lượng data cũng như thời lượng pin và bộ nhớ cho việc truy cập các trang quảng cáo âm thầm.
Những tên miền này giả mạo tṛ chơi và các trang web mới, liên tục hiển thị quảng cáo thông qua màn h́nh WebView ẩn để tạo ra hơn 2 tỷ lượt hiển thị và nhấp chuột quảng cáo gian lận mỗi ngày, qua đó tạo ra doanh thu cho kẻ tấn công.
HUMAN cho biết cơ sở hạ tầng của chiến dịch bao gồm nhiều máy chủ chỉ huy và kiểm soát cùng hơn 300 tên miền quảng cáo liên quan, cho thấy kẻ tấn công đang có kế hoạch mở rộng phạm vi vượt ra ngoài 224 ứng dụng ban đầu đă được xác định.
Kể từ đó, Google đă xóa tất cả các ứng dụng SlopAds khỏi Cửa hàng Play và Google Play Protect của Android đă được cập nhật để cảnh báo người dùng gỡ cài đặt bất kỳ ứng dụng nào có trên thiết bị.
Tuy nhiên, HUMAN cảnh báo rằng mức độ tinh vi của chiến dịch gian lận quảng cáo cho thấy kẻ tấn công có thể sẽ điều chỉnh kế hoạch của ḿnh để thử lại trong các cuộc tấn công trong tương lai.
Nếu bạn vô t́nh tải xuống một ứng dụng, bạn không cần phải lo lắng về việc tự ḿnh theo dơi nó. Tuy nhiên, người dùng cần chú ư trên thiết bị của ḿnh, hệ thống sẽ xuất hiện thông báo và yêu cầu gỡ bỏ nó.
Điều này là do Google đă cập nhật ứng dụng bảo mật tích hợp Google Play Protect của Android để cảnh báo người dùng gỡ cài đặt bất kỳ ứng dụng độc hại nào có thể đang có trên điện thoại thông minh hoặc máy tính bảng của họ.