گوگل در اقدامی گسترده، ۲۲۴ اپلیکیشن مخرب اندروید را از فروشگاه پلی استور حذف کرد؛ اپلیکیشنهایی که در یک کمپین عظیم کلاهبرداری تبلیغاتی موسوم به SlopAds نقش داشتند.
به گزارش تکناک، این کمپین روزانه بیش از ۲.۳ میلیارد درخواست تبلیغاتی به شبکههای تبلیغاتی ارسال میکرد و میلیونها کاربر را در سراسر جهان تحت تأثیر قرار داده بود.
کمپین SlopAds توسط تیم امنیتی Satori Threat Intelligence از شرکت HUMAN شناسایی شد. بر اساس گزارش این تیم، اپلیکیشنهای آلوده بیش از ۳۸ میلیون بار توسط کاربران در ۲۲۸ کشور دانلود شده بودند. مهاجمان با بهرهگیری از روشهای مبهمسازی (Obfuscation) و استگانوگرافی، توانسته بودند رفتارهای مخرب اپلیکیشنها را از چشم گوگل و نرمافزارهای امنیتی پنهان کنند.
بیشترین حجم ترافیک تبلیغاتی جعلی از کشورهای ایالات متحده (۳۰ درصد)، هند (۱۰ درصد) و برزیل (۷ درصد) گزارش شده است.
اپلیکیشنهای SlopAds با تاکتیکهای چندلایه طراحی شده بودند تا از سد بررسیهای گوگل عبور کنند:
اگر اپلیکیشن از طریق جستوجوی عادی در پلیاستور نصب میشد، رفتار طبیعی از خود نشان میداد و همان قابلیتهای تبلیغشده را ارائه میکرد.
به نقل از بلیپینگکامپیوتر، اما اگر نصب اپلیکیشن از طریق تبلیغات مهاجمان انجام میشد، نرمافزار با استفاده از Firebase Remote Config یک فایل پیکربندی رمزگذاریشده دانلود میکرد. این فایل شامل آدرس ماژول بدافزار تبلیغاتی، سرورهای پولشویی (Cashout) و یک کد JavaScript بود.
پس از آن، اپلیکیشن بررسی میکرد که روی دستگاه یک کاربر واقعی نصب شده یا توسط محققان امنیتی در حال تحلیل است. اگر از این فیلتر عبور میکرد، چهار تصویر PNG دانلود میشد که بخشهایی از یک فایل APK مخرب را در خود پنهان کرده بودند. این بخشها پس از رمزگشایی و کنار هم قرار گرفتن، بدافزاری به نام FatModule را تشکیل میدادند.
بدافزار FatModule پس از فعالسازی، با استفاده از WebViewهای مخفی اطلاعات دستگاه و مرورگر را جمعآوری میکرد. سپس به دامنههای تحت کنترل مهاجمان متصل میشد و با جعل ظاهر سایتهای خبری و بازی، تبلیغات را به صورت پنهانی بارگذاری میکرد.
این فرآیند روزانه بیش از ۲ میلیارد نمایش و کلیک جعلی تولید میکرد و سود کلانی را به جیب مهاجمان میریخت. بر اساس گزارش HUMAN، زیرساخت این کمپین شامل چندین سرور فرماندهی و کنترل (C2) و بیش از ۳۰۰ دامنه تبلیغاتی مرتبط بود که نشان میدهد مهاجمان قصد گسترش عملیات خود فراتر از ۲۲۴ اپلیکیشن اولیه را داشتند.
گوگل تمامی اپلیکیشنهای شناساییشده SlopAds را از فروشگاه پلیاستور حذف کرده است. همچنین، سرویس Google Play Protect بهروزرسانی شد تا در صورت وجود این اپها روی دستگاه کاربران، هشدار دهد و آنها را به حذف سریع تشویق کند.
با وجود این اقدام، کارشناسان HUMAN هشدار میدهند که پیچیدگی بالای این عملیات نشان میدهد مهاجمان احتمالاً در آینده با روشهای جدید دوباره تلاش خواهند کرد. از این رو، کاربران باید هنگام دانلود اپلیکیشنها از منابع غیررسمی یا تبلیغات ناشناس نهایت احتیاط را داشته باشند.
پژوهشگران HUMAN این کمپین را SlopAds نامیدند. دلیل این نامگذاری، شباهت اپلیکیشنهای مخرب به برنامههای تولید انبوه و کمکیفیت مشابه محتوای «هوش مصنوعی Slop» و همچنین ارتباط برخی اپلیکیشنها با سرویسها و برنامههای هوش مصنوعی میزبانیشده روی سرورهای مهاجمان بود.
کمپین SlopAds بار دیگر نشان داد که زنجیره امنیتی اکوسیستم اندروید در برابر روشهای پیشرفته کلاهبرداری تبلیغاتی همچنان آسیبپذیر است. هرچند گوگل توانست این حمله گسترده را مهار کند، اما احتمال بازگشت چنین کمپینهایی در آینده بسیار زیاد است. کارشناسان امنیتی تأکید دارند که تنها راه کاهش ریسک، هوشیاری کاربران و استفاده مداوم از ابزارهای امنیتی بهروز است.
