Una operación masiva de fraude publicitario y fraude de clics denominada Slow Ads ejecutó un grupo de 224 aplicaciones , que en conjunto han atraído 38 millones de descargas en 228 países y territorios.
«Estas aplicaciones generan su carga de fraude mediante la esteganografía y crean WebViews ocultas para navegar hasta los sitios de retiro de efectivo propiedad de los actores de amenazas, lo que genera impresiones y clics fraudulentos en los anuncios», dijo el equipo de investigación e inteligencia de amenazas de Satori de HUMAN dijo en un informe compartido con The Hacker News.
El nombre «SloPads» es un guiño a la probable naturaleza de las aplicaciones producidas en masa y al uso de servicios con temática de inteligencia artificial (IA), como StableDiffusion, AIGuide y ChatGLM, alojados por el actor de amenazas en el servidor de comando y control (C2).
La empresa dijo que la campaña generó 2.300 millones de solicitudes de oferta al día en su punto máximo, y que el tráfico de las aplicaciones de SloPads procedía principalmente de EE. UU. (30%), India (10%) y Brasil (7%). Desde entonces, Google ha eliminado todas las aplicaciones infractoras de la Play Store, con lo que ha conseguido acabar con la amenaza.
Lo que hace que esta actividad destaque es que, cuando se descarga una aplicación asociada a SloPads, consulta un SDK de atribución de marketing móvil para comprobar si se descargó directamente desde Play Store (es decir, de forma orgánica) o si fue el resultado de que un usuario hizo clic en un anuncio que lo redirigió a la lista de Play Store (es decir, de forma no orgánica).
El comportamiento fraudulento se inicia solo en situaciones en las que la aplicación se descargó después de hacer clic en un anuncio, lo que provocó que descargara el módulo de fraude publicitario, FatModule, del servidor C2. Por otro lado, si se instaló originalmente, la aplicación se comporta como se anuncia en la página de la tienda de aplicaciones.
«Desde desarrollar y publicar aplicaciones que solo cometen fraude en determinadas circunstancias hasta añadir capa tras capa de ofuscación, SloPads refuerza la idea de que las amenazas al ecosistema de la publicidad digital solo están aumentando en sofisticación», afirman los investigadores de HUMAN.
«Esta táctica crea un ciclo de retroalimentación más completo para los actores de amenazas, lo que desencadena el fraude solo si tienen motivos para creer que los investigadores de seguridad no están examinando el dispositivo. Combina el tráfico malintencionado con datos legítimos de la campaña, lo que complica la detección».
El FatModule se entrega mediante cuatro archivos de imagen PNG que ocultan el APK, que luego se descifra y se vuelve a ensamblar para recopilar información del dispositivo y del navegador, así como para realizar fraudes publicitarios utilizando WebViews ocultos.
«Un mecanismo de retiro para SloPads es a través de sitios web de juegos y noticias HTML5 (H5) propiedad de los actores de las amenazas», dijeron los investigadores de HUMAN. «Estos sitios de juegos muestran anuncios con frecuencia y, dado que el WebView en el que se cargan los sitios está oculto, pueden monetizar numerosas impresiones de anuncios y clics antes de que se cierre el WebView».
Se ha descubierto que los dominios que promocionan las aplicaciones de SloPads se vinculan a otro dominio, ad2 [.] cc, que sirve como servidor C2 de nivel 2. En total, se han identificado aproximadamente 300 dominios que anuncian este tipo de aplicaciones.
El desarrollo se produce poco más de dos meses después de que HUMAN marcara otro conjunto de 352 aplicaciones de Android como parte de un plan de fraude publicitario con nombre en código Anuncios de iconos .
«SloPads destaca la creciente sofisticación del fraude publicitario móvil, incluida la ejecución sigilosa y condicional del fraude y las capacidades de escalamiento rápido», afirma Gavin Reid, CISO de HUMAN.