A SlopAds trükkjei
A hamis appok a Play Áruházon keresztül váltak elérhetővé a felhasználók számára 228 országban. Ha valaki az alkalmazásboltban keresett rájuk és így töltötte le, az app normálisan működött; azonban ha valaki egy SlopAds-hirdetésre kattintva jutott el a letöltéshez, az alkalmazás letöltött egy titkosított beállítási fájlt a Firebase Remote Config segítségével. Ebben linkek szerepeltek a reklámcsalásért felelős szoftvermodulhoz, kiutaló szerverekhez és egy JavaScripthez is.
Hogyan működött a csalás?
Az appok először meggyőződtek arról, hogy valódi felhasználó eszközére kerültek-e. Ha igen, négy PNG képet töltöttek le, amelyek steganográfiával elrejtve tartalmazták a kártevő APK-t. Ezekből a telefon újra összerakta és dekódolta a teljes „FatModule” nevű kártékony programot. Miután aktiválódott, rejtett WebView-kon keresztül automatikusan böngészett hamis híroldalakat és játékoldalakat, amelyek folyamatosan hamisított reklámokat jelenítettek meg egymás után – ezzel naponta több mint 2 milliárd csaló reklámletöltést és kattintást generálva, dollármilliókat termelve a csalóknak (1 USD kb. 365 Ft).
Bezárul a kör, de folytatódhat a játék
A HUMAN nevű biztonsági cég szerint a csalók több mint 300 kapcsolódó domainnel és számos vezérlőszerverrel is felkészültek, így további terjeszkedésre készültek a 224 ismert appon túl is. A Google mára mindegyik érintett alkalmazást eltávolította, és az Android védelmi rendszere is frissült, hogy figyelmeztesse a felhasználókat az érintett appok törlésére. A szakértők azonban figyelmeztetnek: a csalók fejlett módszerei miatt szinte biztos, hogy a jövőben újabb támadásokra is számítani kell.
