「SlopAds」と呼ばれる大規模なAndroid広告詐欺オペレーションが摘発され、Google Play上の224の悪意あるアプリが1日あたり23億件の広告リクエストを生成していました。
この広告詐欺キャンペーンはHUMANのSatori Threat Intelligenceチームによって発見され、アプリは3,800万回以上ダウンロードされ、難読化やステガノグラフィを用いてGoogleやセキュリティツールから悪意ある挙動を隠していたと報告されています。
このキャンペーンは世界中で展開され、ユーザーは228か国からアプリをインストールしており、SlopAdsのトラフィックは毎日23億件の入札リクエストを占めていました。広告インプレッションの最も多い国はアメリカ(30%)、次いでインド(10%)、ブラジル(7%)となっています。
「研究者たちはこのオペレーションを『SlopAds』と名付けました。これは、脅威に関連するアプリが『AI slop』のように大量生産されたものであること、そして脅威アクターのC2サーバーにホストされたAIテーマのアプリやサービスのコレクションを指しているためです」とHUMANは説明しています。
出典: HUMAN Satori
SlopAds広告詐欺キャンペーン
この広告詐欺は、Googleのアプリ審査プロセスやセキュリティソフトウェアによる検出を回避するため、複数の回避戦術を含んでいました。
ユーザーがPlayストアからSlopAdアプリを自然にインストールした場合(キャンペーンの広告経由でなく)、アプリは通常通り宣伝されている機能を実行し、通常のアプリとして振る舞います。
出典: HUMAN SATORI
しかし、ユーザーが脅威アクターの広告キャンペーン経由でアプリをインストールしたと判断されると、ソフトウェアはFirebase Remote Configを使って、広告詐欺マルウェアモジュール、キャッシュアウトサーバー、JavaScriptペイロードのURLを含む暗号化された設定ファイルをダウンロードします。
その後、アプリは本物のユーザーのデバイスにインストールされているか、研究者やセキュリティソフトによる解析中かを判別します。
これらのチェックを通過すると、アプリは悪意あるAPKの一部を隠したステガノグラフィを利用した4つのPNG画像をダウンロードし、これが広告詐欺キャンペーンの動力となります。
出典: HUMAN Satori
画像がダウンロードされると、端末上で復号・再構成され、完全な「FatModule」マルウェアが形成され、これが広告詐欺を実行します。
FatModuleが有効化されると、隠されたWebViewを使ってデバイスやブラウザ情報を収集し、攻撃者が管理する広告詐欺(キャッシュアウト)ドメインにアクセスします。
これらのドメインはゲームやニュースサイトを装い、隠されたWebView画面を通じて広告を継続的に配信し、1日あたり20億件以上の不正な広告インプレッションやクリックを生成して攻撃者の収益源となっていました。
HUMANによると、このキャンペーンのインフラには多数のコマンド&コントロールサーバーと300以上の関連プロモーション用ドメインが含まれており、脅威アクターが最初に特定された224のアプリを超えて拡大を計画していたことが示唆されています。
Googleは既知のSlopAdsアプリをすべてPlayストアから削除し、AndroidのGoogle Playプロテクトも端末上で発見された場合にユーザーにアンインストールを警告するよう更新されました。
しかし、HUMANはこの広告詐欺キャンペーンの高度な手口から、脅威アクターが今後も手口を変えて再び攻撃を試みる可能性が高いと警告しています。
