VietNetwork.Vn

Một hoạt động gian lận quảng cáo và gian lận nhấp chuột quy mô lớn có tên SlopAds đã chạy một nhóm gồm 224 ứng dụng, thu hút tổng cộng 38 triệu lượt tải xuống trên 228 quốc gia và vùng lãnh thổ.

Nhóm nghiên cứu và tình báo về mối đe dọa Satori của HUMAN cho biết trong một báo cáo chia sẻ với The Hacker News: "Những ứng dụng này truyền tải nội dung lừa đảo bằng kỹ thuật ẩn danh và tạo ra các WebView ẩn để điều hướng đến các trang web rút tiền do tác nhân đe dọa sở hữu, tạo ra lượt hiển thị quảng cáo và lượt nhấp chuột gian lận".


Cái tên "SlopAds" ám chỉ đến bản chất có khả năng được sản xuất hàng loạt của các ứng dụng này và việc sử dụng các dịch vụ theo chủ đề trí tuệ nhân tạo (AI) như StableDiffusion, AIGuide và ChatGLM do tác nhân đe dọa lưu trữ trên máy chủ chỉ huy và kiểm soát (C2).

Công ty cho biết chiến dịch này đã thu hút 2,3 tỷ yêu cầu đặt giá thầu mỗi ngày vào thời điểm cao điểm, với lưu lượng truy cập từ các ứng dụng SlopAds chủ yếu đến từ Hoa Kỳ (30%), Ấn Độ (10%) và Brazil (7%). Kể từ đó, Google đã xóa tất cả các ứng dụng vi phạm khỏi Cửa hàng Play, qua đó ngăn chặn hiệu quả mối đe dọa này.

Điểm nổi bật của hoạt động này là khi một ứng dụng liên quan đến SlopAds được tải xuống, nó sẽ truy vấn SDK phân bổ tiếp thị trên thiết bị di động để kiểm tra xem ứng dụng đó có được tải xuống trực tiếp từ Cửa hàng Play (tức là tải xuống tự nhiên) hay là kết quả của việc người dùng nhấp vào quảng cáo chuyển hướng họ đến danh sách Cửa hàng Play (tức là tải xuống không tự nhiên).


Hành vi gian lận chỉ được kích hoạt trong trường hợp ứng dụng được tải xuống sau khi nhấp vào quảng cáo, khiến ứng dụng tải xuống mô-đun gian lận quảng cáo FatModule từ máy chủ C2. Mặt khác, nếu ứng dụng đã được cài đặt ban đầu, ứng dụng sẽ hoạt động như quảng cáo trên trang cửa hàng ứng dụng.

Các nhà nghiên cứu của HUMAN cho biết: "Từ việc phát triển và phát hành các ứng dụng chỉ thực hiện gian lận trong một số trường hợp nhất định cho đến việc thêm nhiều lớp che giấu, SlopAds củng cố quan điểm cho rằng các mối đe dọa đối với hệ sinh thái quảng cáo kỹ thuật số ngày càng trở nên tinh vi hơn".

"Chiến thuật này tạo ra một vòng phản hồi hoàn chỉnh hơn cho kẻ tấn công, chỉ kích hoạt gian lận nếu chúng có lý do để tin rằng thiết bị không được các nhà nghiên cứu bảo mật kiểm tra. Nó trộn lẫn lưu lượng độc hại vào dữ liệu chiến dịch hợp pháp, gây khó khăn cho việc phát hiện."

FatModule được phân phối thông qua bốn tệp hình ảnh PNG ẩn APK, sau đó được giải mã và lắp ráp lại để thu thập thông tin thiết bị và trình duyệt, cũng như thực hiện gian lận quảng cáo bằng cách sử dụng WebView ẩn.

"Một cơ chế kiếm tiền của SlopAds là thông qua các trang web trò chơi và tin tức HTML5 (H5) do các tác nhân đe dọa sở hữu", các nhà nghiên cứu của HUMAN cho biết. "Các trang web trò chơi này thường xuyên hiển thị quảng cáo, và vì WebView mà các trang web được tải lên bị ẩn, nên các trang web có thể kiếm tiền từ nhiều lượt hiển thị quảng cáo và lượt nhấp chuột trước khi WebView đóng lại."

Các tên miền quảng bá ứng dụng SlopAds đã được phát hiện liên kết ngược đến một tên miền khác, ad2[.]cc, đóng vai trò là máy chủ C2 Cấp 2. Tổng cộng, ước tính có khoảng 300 tên miền quảng cáo các ứng dụng như vậy đã được xác định.

Sự việc này diễn ra hơn hai tháng sau khi HUMAN phát hiện thêm 352 ứng dụng Android là một phần của chương trình gian lận quảng cáo có tên mã là IconAds.

Gavin Reid, CISO tại HUMAN, cho biết: "SlopAds nêu bật sự tinh vi ngày càng tăng của gian lận quảng cáo trên thiết bị di động, bao gồm khả năng thực hiện gian lận có điều kiện, lén lút và khả năng mở rộng nhanh chóng".