Recentemente, un team di esperti della sicurezza di HUMAN ha rivelato un caso di frode pubblicitaria noto come SlopAds, coinvolgente ben 224 applicazioni disponibili nel Play Store di Google. Queste app, scaricate più di 38 milioni di volte in 228 paesi, nascondevano un codice malevolo all’interno di immagini PNG tramite tecniche di steganografia.
La frode e il suo impatto globale
L’obiettivo principale di questa operazione illecita era generare un numero sproporzionato di clic e impression, consentendo ai cybercriminali di incassare profitti illeciti. Durante il picco della frode, i servizi pubblicitari di Google ricevevano fino a 2,3 miliardi di richieste di offerte al giorno.
Meccanismi di elusione
Per evitare di essere scoperti durante le revisioni delle applicazioni e dai sistemi di sicurezza di Google, i responsabili della frode hanno implementato diverse tecniche di elusione.
Quando un utente scarica un’app senza seguire i link della campagna SlopAds, l’applicazione presenta normalmente le sue funzionalità. Tuttavia, se l’installazione avviene tramite uno degli annunci fraudolenti, il software utilizza Firebase Remote Config per scaricare un file di configurazione criptato, contenente collegamenti per un modulo di malware denominato FatModule.
Il ruolo della steganografia e l’infrastruttura di supporto
Le applicazioni in oggetto scaricavano quattro immagini PNG, nelle quali era occultato il codice di FatModule. Quando attivato, questo codice dava inizio al download di inserzioni all’interno di finestre WebView nascoste, portando alla generazione di oltre 2 miliardi di clic e impression giornalieri.
Espansione della frode
La complessità di questa frode è accentuata dalla sua infrastruttura, composta da oltre 300 domini, suggerendo che il numero di applicazioni compromesse potesse aumentare ulteriormente.
In risposta a questa minaccia, Google ha prontamente rimosso tutte le 224 applicazioni dal Play Store e ha aggiornato Play Protect per avvertire gli utenti riguardo alla necessità di disinstallare le applicazioni, anche quelle provenienti da fonti alternative.
Conclusioni e misure preventive
La frode SlopAds evidenzia l’importanza di una vigilanza costante nel settore della sicurezza delle applicazioni. Sebbene Google abbia adottato misure decisive per rimuovere queste applicazioni dannose, è fondamentale che gli utenti rimangano informati e mettano in atto pratiche di sicurezza efficaci per difendersi da eventuali minacce future. L’implementazione di strumenti di sicurezza, come Play Protect, costituisce un passo significativo verso la protezione degli utenti all’interno del vasto ecosistema delle applicazioni.
