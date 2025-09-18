Aplikacije su generisale čak 2,3 milijarde lažnih zahtjeva za reklame dnevno, koristeći sofisticirane metode maskiranja koda i prikrivanja zlonamjernog djelovanja.

Izvor: Ilija Baošić

Masovna Android kampanja oglašivačke prevare, nazvana “SlopAds”, razbijena je nakon što je 224 zlonamjernih aplikacija sa Google Play prodavnice korišćeno za generisanje 2,3 milijarde zahteva za reklame dnevno.

Kampanju oglašivačke prevare otkrio je HUMAN-ov Satori Threat Intelligence tim, koji je izvijestio da su aplikacije preuzete više od 38 miliona puta i da su koristile maskiranje koda i steganografiju kako bi od Google-a i bezbjednosnih alata prikrile zlonamjerno ponašanje.

Kampanja je bila globalna, jer su korisnici instalirali aplikacije u 228 zemalja, a SlopAds saobraćaj je činio 2,3 milijarde zahteva za reklame svakog dana. Najveća koncentracija prikaza oglasa poticala je iz SAD (30%), Indije (10%) i Brazila (7%).

Izvor: HUMAN Security

"Istraživači su ovu operaciju nazvali 'SlopAds' zato što aplikacije povezane sa pretnjom djeluju kao masovno proizvedene, u stilu 'AI Slop-a", ali i kao aluziju na kolekciju AI aplikacija i servisa koje su napadači držali na svom C2 serveru", objašnjava HUMAN Security.

SlopAds kampanja oglašivačke prevare

Izvor: HUMAN Security

Prevara sa oglasima sadržala je više taktika i nivoa izbjegavanja, a sve kako bi se spriječilo otkrivanje tokom Google-ovog pregleda aplikacija i od strane bezbjednosnog softvera.

Ako bi korisnik instalirao SlopAd aplikaciju organski, preko Play prodavnice, bez dolaska sa jedne od prevarantskih reklama, aplikacija bi se ponašala normalno i obavljala obećane funkcije kao i svaka druga.

Izvor: HUMAN Security

Međutim, ako bi se utvrdilo da je aplikacija instalirana nakon što je korisnik kliknuo na jednu od reklamnih kampanja aktera, softver bi koristio "Firebase Remote Config" da preuzme enkriptovan konfiguracioni fajl koji je sadržao URL-ove za zlonamjerni modul oglašivačke prevare, servere za preusmeravanje klikova i JavaScript kod.

Zatim bi aplikacija provjeravala da li je instalirana na uređaju pravog korisnika, a ne na uređaju istraživača ili bezbednosnog softvera.

Ako bi aplikacija prošla ove provere, preuzimala bi četiri PNG slike koje su koristile steganografiju za skrivanje dijelova malicioznog APK fajla, koji je korišćen za pokretanje kampanje oglašivačke prevare.

Izvor: HUMAN Security

Nakon preuzimanja, slike su dešifrovane i ponovo sastavljene na uređaju kako bi formirale kompletan "FatModule" malver, koji je služio za sprovođenje prevare.

Kada bi FatModule bio aktiviran, koristio bi skrivene WebView komponente za prikupljanje podataka o uređaju i pregledaču, a zatim bi odlazio na prevarantske domene koje su kontrolisali napadači, piše Bleeping Computers.

Ovi domeni su se predstavljali kao sajtovi za vijesti i gejming, neprekidno prikazujući reklame kroz skrivene WebView ekrane kako bi generisali više od 2 milijarde lažnih prikaza i klikova dnevno, čime su napadači ostvarivali prihod.

HUMAN Security kaže da je infrastruktura kampanje uključivala brojne komandno-kontrolne servere i više od 300 povezanih promotivnih domena, što sugeriše da su akteri planirali širenje operacije i van inicijalno identifikovane 224 aplikacije.

Google je od tada uklonio sve poznate SlopAds aplikacije iz Play prodavnice, a Android-ov Google Play Protect je ažuriran da upozori korisnike da obrišu aplikacije ukoliko se još nalaze na uređajima.

Međutim, HUMAN upozorava da sofisticiranost ove prevarantske kampanje ukazuje na to da će akteri vjerovatno prilagoditi svoj plan i pokušati ponovo u nekim budućim napadima.