HackerNews 编译,转载请注明出处:
一个名为 “SlopAds” 的大型广告欺诈团伙,操控了由 224 款应用组成的应用集群。这些应用在全球 228 个国家和地区的总下载量高达 3800 万次。
HUMAN 公司旗下的 Satori 威胁情报与研究团队在一份提交给《黑客新闻》(The Hacker News)的报告中指出:“这些应用通过隐写术(steganography)植入欺诈代码,并创建隐藏的 WebView(网页视图)跳转到攻击者控制的‘变现网站’,以此生成虚假的广告曝光量与点击量。”
“SlopAds” 这一名称,一方面暗示该团伙所开发应用的具有“批量生产” 属性,另一方面则源于攻击者在其命令与控制(C2)服务器上托管的多款人工智能(AI)主题服务,包括 StableDiffusion(AI 绘图工具)、AIGuide(AI 指南类服务)及 ChatGLM(AI 对话模型)。
HUMAN 公司表示,该欺诈活动在高峰期每日发起的广告竞价请求达23 亿次。从流量来源看,SlopAds 关联应用的用户主要集中在美国(占比 30%)、印度(占比 10%)和巴西(占比 7%)。目前,谷歌已将所有违规应用从 Play 商店下架,有效遏制了这一威胁。
该欺诈活动的一大显著特征的是:当用户下载 SlopAds 关联应用后,应用会调用移动营销归因 SDK(软件开发工具包),核查自身的下载渠道,确认是用户自然下载(用户直接从 Play 商店下载),还是非自然下载(点击广告后跳转至 Play 商店列表下载)。
只有在非自然下载的场景下,应用才会触发欺诈行为:从 C2 服务器下载名为 “FatModule” 的广告欺诈模块。反之,若应用是通过自然下载安装,其行为会与应用商店页面上宣传的功能完全一致。
HUMAN 的研究人员表示:“SlopAds 团伙不仅开发‘仅在特定场景下实施欺诈’的应用,还为其添加层层混淆技术。这一行为印证了一个趋势,即数字广告生态系统面临的威胁,其复杂程度正在不断升级。”
“这种策略为攻击者构建了更完整的‘反馈循环’:只有当他们判断设备未被安全研究人员检测时,才会触发欺诈行为。此举能将恶意流量混入合法推广数据中,大幅增加了检测难度。”
FatModule 模块通过 4 个 PNG 图像文件进行传输,这些图像中隐藏了 APK(安卓应用安装包)文件。该 APK 文件会在设备中被解密、重组,随后执行两项核心操作:收集设备与浏览器信息,以及通过隐藏 WebView 实施广告欺诈。
研究人员进一步指出:“SlopAds 的一种变现方式,是通过攻击者控制的 HTML5游戏网站与新闻网站。这些游戏网站会高频次展示广告,且由于加载网站的 WebView 处于隐藏状态,在 WebView 关闭前,网站能通过大量虚假广告曝光与点击实现盈利。”
调查发现,推广 SlopAds 关联应用的域名,均指向另一个名为 “ad2 [.] cc” 的域名。该域名是 SlopAds 团伙的二级(Tier-2)C2 服务器。截至目前,研究人员已识别出约 300 个用于推广此类欺诈应用的域名。
值得注意的是,此次 SlopAds 事件曝光的两个月前,HUMAN 公司曾披露另一起广告欺诈案 “IconAds”,该案件涉及 352 款安卓应用。
HUMAN 公司首席信息安全官加文・里德表示:“SlopAds 事件凸显了移动广告欺诈的‘进化趋势’,其不仅具备‘隐蔽性’‘条件触发式欺诈’的特征,还拥有快速规模化攻击的能力。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
