Специалисты по киберугрозам из команды Satori компании HUMAN выявили одну из крупнейших схем рекламного мошенничества, замаскированную под сотни безобидных Android-приложений.
Под названием SlopAds скрывался изощрённый механизм обмана рекламных систем, охвативший пользователей в 228 странах. В общей сложности вредоносные приложения были установлены более 38 млн раз и ежедневно генерировали до 2,3 млрд фальшивых заявок на рекламных аукционах.
Все выявленные программы уже удалены из Google Play, но архитектура схемы показывает, насколько сложными стали технологии промышленного фрода.
Главной особенностью SlopAds стало условное поведение. После установки приложение проверяло источник скачивания, если оно было загружено по рекламе, запускался вредоносный компонент, в противном случае поведение оставалось полностью «чистым» и соответствовало описанию в магазине.
Это позволяло злоумышленникам минимизировать риски анализа со стороны специалистов и продвигать свои продукты как обычные утилиты, игры или медиасервисы.
Основной вредоносный модуль под названием FatModuleпоставлялся нетривиальным способом. Он был зашифрован и скрыт внутри четырёх PNG-файлов с использованием стеганографии. Компоненты APK собирались непосредственно на устройстве, после чего запускалась фоновая активность — открытие веб-страниц, эмуляция прокрутки, имитация взаимодействий и показов рекламы. Всё это происходило в невидимых WebView, незаметных для пользователя.
Монетизация происходила через множество игровых и новостных площадок, где реклама отображается непрерывно. Пока скрытое окно было активно, счётчики показов и кликов росли, создавая видимость массового трафика. Сами операторы схемы получали доход за якобы взаимодействие с рекламой, в то время как пользователи ничего не замечали.
Сеть инфраструктуры была выстроена многоуровнево. Основной узел — домен ad2.cc, служивший Tier-2 сервером управления. Всего обнаружено около 300 связанных доменных имён, поддерживающих работу схемы. На управляющих серверах были найдены ИИ-сервисы с названиями вроде StableDiffusion, AIGuide, ChatGLM, что может указывать на потоковую сборку приложений с использованием генеративных моделей.
По статистике, наибольший объём трафика приходился на США (около 30%), за ними следовали Индия (10%) и Бразилия (7%). Это подтверждает масштаб и глобальный охват мошеннической схемы. Маскировка включала многоуровневую обфускацию, условную активацию функций и искажение сигнального профиля, что затрудняло обнаружение даже для антифрод-платформ.
HUMAN ранее уже сталкивалась с аналогичной мошеннической операцией — схемой IconAds, использовавшей 352 вредоносных приложения.
Ещё по теме:
- Т-Банк выпустил ещё одно приложение с оплатой с помощью iPhone
- США и Китай договорились о сохранении TikTok в Америке
- Для AirPods Pro 3 разработали новый тест акустической изоляции
