Gli esperti di HUMAN hanno scoperto una frode pubblicitaria, denominata SlopAds, effettuata con 224 app distribuite tramite Play Store. Il codice infetto è stato nascosto in quattro immagini PNG sfruttando la steganografia. Google ha prontamente rimosso tutte le app e aggiornato Play Protect per avvisare gli utenti.
Descrizione della frode pubblicitaria
La frode pubblicitaria aveva una copertura mondiale. Le 224 app erano state scaricate complessivamente oltre 38 milioni di volte in 228 paesi. Lo scopo dei cybercriminali era quello di generare falsi click e impression che permettevano di ottenere profitti illeciti. Gli esperti di HUMAN hanno rilevato un picco giornaliero di 2,3 miliardi di richieste di offerte attraverso i servizi di advertising di Google.
La frode pubblicitaria sfruttava diverse tattiche di elusione per evitare la rilevazione durante la revisione delle app e da parte dei sistemi di sicurezza di Google. Se un utente installava un’app tramite Play Store, senza provenire da uno degli annunci della campagna SlopAds, l’app mostrava le funzionalità indicate.
Se invece era stata installata tramite una delle campagne pubblicitarie dei cybercriminali, l’app utilizzava Firebase Remote Config per scaricare un file di configurazione cifrato contenente gli URL per modulo malware (FatModule), domini di cashout e payload JavaScript.
Le app scaricavano quattro immagini PNG, in cui era nascosto il codice rimanente di FatModule (steganografia). Quest’ultimo veniva quindi attivato e iniziava il download delle inserzioni all’interno di schermate WebView nascoste. In questo modo venivano generati oltre 2 miliardi di click e impression al giorno.
L’infrastruttura era composta da oltre 300 domini, quindi il numero delle app infette era destinato ad aumentare. Come detto, Google ha rimosso tutte le 224 app dal Play Store e aggiornato Play Protect per suggerire agli utenti di disinstallare le app (anche quelle scaricate da fonti alternative).
Ti potrebbe interessare
18 set 2025