Uma vasta operação de fraude publicitária, apelidada de "SlopAds", foi desmantelada após ter utilizado 224 aplicações maliciosas na Google Play para gerar um volume astronómico de 2,3 mil milhões de pedidos de anúncios fraudulentos por dia. Segundo a equipa Satori Threat Intelligence da empresa de cibersegurança HUMAN, estas aplicações foram descarregadas mais de 38 milhões de vezes a nível mundial.
Para passar despercebida, a campanha recorria a técnicas sofisticadas de ocultação, chegando ao ponto de esconder o seu comportamento malicioso dentro de ficheiros de imagem, uma estratégia conhecida como esteganografia.
O esquema engenhoso da "SlopAds"
O nome "SlopAds" foi atribuído pelos investigadores devido à aparente produção em massa das aplicações, que faz lembrar o conteúdo de baixa qualidade gerado por IA, conhecido como "AI slop". A estratégia dos atacantes era multifacetada e desenhada para iludir tanto os mecanismos de revisão da Google como o software de segurança.
O truque era engenhoso. Se um utilizador instalasse uma das aplicações diretamente da Play Store, sem vir de um anúncio da campanha, esta comportava-se de forma normal e cumpria a sua função prometida. No entanto, se a instalação viesse de um dos seus anúncios, a aplicação usava uma ferramenta da Google (Firebase Remote Config) para descarregar um ficheiro de configuração secreto.
Como o malware se escondia à vista de todos
Após confirmar que não estava a ser analisada num ambiente de teste, a aplicação descarregava quatro imagens PNG aparentemente inofensivas. Contudo, através de esteganografia, estas imagens continham pedaços escondidos de um APK malicioso. Uma vez no dispositivo, estas peças eram desencriptadas e unidas para formar o módulo malicioso principal, batizado de "FatModule".
Uma vez ativo, este módulo usava "WebViews" (componentes que permitem mostrar páginas web dentro de uma app) ocultas para bombardear o dispositivo com anúncios, gerando cliques e visualizações fraudulentas. Para dar uma aparência de legitimidade, os domínios utilizados imitavam sites de jogos e de notícias.
O impacto global e a resposta da Google
A campanha teve um alcance global, com utilizadores a instalar as aplicações em 228 países. A maior concentração de impressões de anúncios fraudulentos teve origem nos Estados Unidos (30%), seguido pela Índia (10%) e pelo Brasil (7%).
Alertada pela HUMAN, a Google já removeu todas as 224 aplicações identificadas da Play Store. Além disso, o Google Play Protect foi atualizado para alertar os utilizadores que ainda tenham estas apps instaladas, recomendando a sua desinstalação imediata.
Apesar da interrupção da campanha, os especialistas da HUMAN alertam que a sofisticação demonstrada indica que os responsáveis por detrás deste esquema provavelmente adaptarão as suas táticas e tentarão novamente no futuro.
Nenhum comentário
Seja o primeiro!