Главная страница » Индикаторы компрометации
0
11 дней
Индикаторы компрометации

Раскрыта глобальная схема мошеннической рекламы SlopAds с 38 млн установок из Google Play

information security

Специалисты группы угрозовых исследований Satori компании HUMAN обнаружили и остановили масштабную операцию по мошенничеству с рекламой и кликами, получившую название SlopAds. Злоумышленники, стоящие за этой схемой, управляли коллекцией из 224 приложений, которые суммарно были скачаны из Google Play более 38 миллионов раз пользователями из 228 стран и территорий.

Описание

Эти приложения использовали стеганографию для скрытой доставки вредоносного кода и создавали скрытые WebView для навигации на контролируемые преступниками сайты, генерируя мошеннические показы рекламы и клики. Инфраструктура злоумышленников и многие приложения были тематически связаны с искусственным интеллектом, что и дало название операции.

Приложения управлялись несколькими командно-контрольными серверами (C2) и специализированными промо-доменами. Разветвлённость этой сети указывает на планы злоумышленников по расширению операции. На момент подготовки отчёта преступники продолжали адаптироваться и пытаться публиковать новые приложения в Google Play.

SlopAds выделяется новым подходом к обфускации: атаки запускались только в случае, если установка приложения могла быть отслежена до рекламной кампании, управляемой злоумышленниками. Органические установки, не связанные с рекламой, не активировали мошеннические действия. На пике активности SlopAds генерировала 2,3 миллиарда бид-запросов в день. Трафик поступал со всего мира, с наибольшей долей из США (30%), Индии (10%) и Бразилии (7%).

Название SlopAds отражает массовый характер производства приложений, аналогичный генеративному контенту ("AI slop"), и отсылает к коллекции инструментов на серверах злоумышленников, тематически связанных с ИИ. Исследователи также зафиксировали процесс обучения нейросетевой модели на домене, контролируемом преступниками.

Механизм работы SlopAds включал многоуровневую обфускацию. После установки приложение использовало Firebase Remote Config для получения зашифрованной конфигурации с URL-адресами модуля мошенничества (FatModule), доменами для монетизации и JavaScript-грузом для клик-фрода. Затем выполнялась проверка источника установки с использованием платформы атрибуции мобильного маркетинга - новаторский метод в контексте ad fraud.

В случае неорганической установки приложение обращалось к C2-серверу для загрузки четырёх PNG-файлов, которые с помощью стеганографии скрывали APK-модуль FatModule. После сборки и дешифровки модуль выполнял дополнительные проверки на отладку и анализ, а также проверял наличие эмулятора или рут-прав. Всё взаимодействие происходило в скрытых WebView, что затрудняло обнаружение.

Схема включала сбор информации об устройстве и браузере, что позволяло таргетировать атаки и повышать правдоподобность запросов. Мошеннические действия осуществлялись на принадлежащих злоумышленникам сайтах-одностраничниках (H5), которые часто показывали рекламу. Код обеспечивал клики только по видимым объявлениям, а множественные редиректы скрывали источник трафика.

Обнаружение SlopAds стало возможным благодаря анализу аномальных паттернов в данных решения HUMAN Ad Fraud Defense. Исследователи выявили более 300 связанных доменов, продвигающих приложения SlopAds, что указывает на потенциал дальнейшего расширения операции. Все выявленные приложения были удалены из Google Play. Пользователи защищены Google Play Protect, который блокирует известные вредоносные приложения даже при установке из внешних источников.

Индикаторы компрометации

Domains

  • 0costfuntv.com
  • 2cola1fuckingsucks.top
  • 4kfluid.com
  • abfunn.com
  • aiarpainting.com
  • ai-lab-pro.com
  • ailiedetectorpro.com
  • aiweatherradar.com
  • allpdfview.com
  • allvideoplayer.com
  • animeshimeji.com
  • apk0cost.com
  • apkamaz.com
  • apkboxes.com
  • apkcan.com
  • apkdownloadzone.com
  • apkfamily.com
  • apkfriend.com
  • apkory.com
  • apkova.com
  • apkstem.com
  • apkvue.com
  • ardrawer.com
  • ardrawerpro.com
  • ardrawers.com
  • artlyaiphoto.com
  • assist-chat.com
  • auralaunch.com
  • autostip.com
  • autowificonnect.com
  • awesomeapk.com
  • aymobs.com
  • batteryemoji.com
  • beachwear-sale.com
  • beauticapp.com
  • berslex.com
  • biirin.com
  • bonnietbyron.icu
  • boxvidplayer.com
  • bpchecker.com
  • brieflyinfo.com
  • buzzfir.com
  • buzzonfeed.com
  • byte-short.com
  • bzfeeds.com
  • callchats.com
  • cameraseffects.com
  • canvas-charm.com
  • cartoon-creator.com
  • chat-m8.com
  • chats-mate.com
  • cheaptodays.com
  • cineflowhd.com
  • cinemagicstream.com
  • clackphonesfinder.com
  • clapphonefinder.com
  • clap-track.com
  • clapwhistle.com
  • clearfilemaster.com
  • codetech.org
  • combindemoji.com
  • comforter-sets-shop.com
  • converse-assistant.com
  • cosmicwallpaper.com
  • couponondeal.com
  • couponswant.com
  • csmyii.com
  • cuteapkclub.com
  • dailyfunapk.com
  • dailyjoyapk.com
  • dailyseeks.com
  • dentallynow.com
  • desymob.com
  • detectphone.com
  • devicelocators.com
  • digital-medium.com
  • dogcattranslator.com
  • earthmaplive.com
  • edit-craft.com
  • emoji-evo.com
  • emojimakerlauncher.com
  • emojismaker.com
  • emoji-studio.com
  • erapaper.com
  • facmob.com
  • faetnet.com
  • fakesdetector.com
  • fastdailyinsights.com
  • fasterfinder.com
  • fav-art.com
  • festpiceditor.com
  • festpicphotoeditor.com
  • file-cleaner.com
  • file-clear.com
  • flash-light.cc
  • flashlight-aitorch.com
  • flashlightsupertorch.com
  • flickslide.com
  • fluidarthub.com
  • fluidfxlive.com
  • francetvs.com
  • freefunshow.com
  • freejoytv.com
  • freemixtv.com
  • funapkclub.com
  • funapkhome.com
  • funnytimetv.com
  • fun-prank.com
  • gala-games-auth-itt.com
  • genaibaby.com
  • girltalkie.com
  • goapkzone.com
  • goodfavornews.com
  • grus.video
  • hahatvshow.com
  • haircutprank.com
  • health-m8.com
  • health-tracking.com
  • heartbeat-xm.com
  • heartguardianhealthy.com
  • heynuzzle.com
  • homii-aifriends.com
  • homiiaipet.com
  • homiichat.com
  • hugreader.com
  • hulumob.com
  • ifepersonalizados.com.br
  • imgtopdfapp.com
  • infomnest.com
  • infyfeeds.com
  • intellibrowser.com
  • iobuzzy.com
  • jimin.cc
  • jokyads.com
  • kakapics.com
  • keyboardstylemaker.com
  • kkvgame.com
  • ksvapp.com
  • lampvpn.com
  • letnbt.com
  • lightxboost.com
  • limtad.com
  • live-chat-video.com
  • liveearthmap3dsatellite.com
  • liveweatherlauncher.com
  • luozongit.com
  • magic-fluid.com
  • magnifierzoom.com
  • make-emoji.com
  • maxidresses-sale.com
  • mobkow.com
  • multicinestack.com
  • nackmob.com
  • netbrn.com
  • netdomogatelstvam.ru
  • nettoped.com
  • neuralaiphoto.com
  • newsinfom.com
  • nova-chats.com
  • novapdfviewer.com
  • novhop.com
  • npkad.com
  • omnidimensucks.top
  • ormads.com
  • osontab.com
  • outlook-weather.com
  • pajamapants-sale.com
  • palmistries.com
  • palmistrylauncher.com
  • palm-pro.com
  • parallaxmagic.com
  • pathoramap.com
  • periodmonitor.com
  • phonesfind.com
  • phones-finder.com
  • photorecoveryx.com
  • photoskiller.com
  • phototoolbaby.com
  • pickbankwise.com
  • picswizsh.com
  • pic-wallpaper.com
  • pik-ai.com
  • pixarparadise.com
  • pixelperfexwallpapers.com
  • pixmindaiphoto.com
  • pixoverfind.com
  • pixtunephoto.com
  • popjiemoji.com
  • psychic-palmistry.com
  • pulsetrackhealth.com
  • pureeasetv.com
  • purefuntv.com
  • purewallpaperz.com
  • quickediter.com
  • quickwificonnect.com
  • rajeevirginia.com
  • rampurl.com
  • rcnc.org.au
  • realeasetv.com
  • realfreeapk.com
  • realfuntv.com
  • reelx-shgwk.com
  • rollnat.com
  • saul-ai.com
  • scanquick.cc
  • screengesture.com
  • screenmirrorcast.com
  • screenmirrors.com
  • screen-pets.com
  • seekcarz.com
  • seeto.africa
  • seeto.so
  • short-byte.com
  • signalpowerwifi.com
  • slidesth.com
  • smartweathers.com
  • snap-moji.com
  • sonic-video.com
  • sovietunion.top
  • steed888.net
  • storage-cleaner.com
  • strawartist.com
  • supermagnifier.com
  • sysmelt.com
  • talynx.co
  • thahabi.org
  • therehello.top
  • thetoppershop.ca
  • thewalli.com
  • thibaultstas.eu
  • thrtrack.com
  • tiger-qr.com
  • titanpdf.com
  • tonyalcastillo.icu
  • topbankingtip.com
  • topfundadvisor.com
  • topmpic.com
  • toppostnow.com
  • torch-plus.com
  • toukaadx.com
  • tourguideblog.com
  • toyoop.com
  • translateeazy.com
  • translate-know.com
  • trendtopick.com
  • trymaple.co
  • turaath.so
  • turbowifipro.com
  • ubornet.com
  • ultraquest447.top
  • ultrazoompro.com
  • unicorn-emoji.com
  • unicorn-sticker.com
  • verfond.com
  • victorsfinancedivision.net
  • videohubfun.com
  • vidso.top
  • vividwallz.com
  • vvicat.dev
  • vvmrentalsandeventsllc.com
  • wallpapercanvas.com
  • wallpapers-high.com
  • wallpaper-x.com
  • wall-pix.com
  • wave-scapes.com
  • weather-focus.com
  • weather-genius.com
  • weatherlylauncher.com
  • weefeeds.com
  • weex.chat
  • weirdprank.com
  • wellness-pal.com
  • wellwrong.com
  • wifiboost-pro.com
  • wifi-dr.com
  • wifigeniet.com
  • wifi-guardian.com
  • wifi-passwd.com
  • wifi-scanner.com
  • wingamead.com
  • wiseinfom.com
  • witvision.io
  • wow-wallpaper.com
  • xfinitywifimap.com
  • yangmaotech.com
  • yohmob.com
  • yohooh.top
  • zhao1shus.top
  • zheng2shu.top
Комментарии: 0
Похожие записи
0
07.03.2025
Индикаторы компрометации

BADBOX 2.0 нацелен на потребительские устройства с помощью многочисленных мошеннических схем

botnet
Команда HUMAN по анализу и исследованию угроз Satori совместно с Google, Trend Micro, Shadowserver и другими партнерами раскрыли крупномасштабную мошенническую операцию под названием "BADBOX 2.0".