Google acaba de eliminar un total de 224 aplicaciones maliciosas de Play Store que estaban vinculadas en una de las mayores operaciones de fraude publicitario que se ha detectado en Android hasta la fecha. La campaña que que se hacía conocer como SlopAds, llegó a alcanzar un total de 38 millones de descargas en 228 países, las cuales generaban alrededor de 2.300 millones de solicitudes de anuncios diarios.
Este increíble descubrimiento fue realizado por Satori Threat Intelligence de HUMAN, quienes documentaron el alcance global de la operación y de los mecanismos tan avanzados que utilizaban los atacantes para evadir todos los controles de seguridad de la compañía Google.
Así es cómo funcionaba la campaña SlopAds
La campaña SlopAds se caracterizaba por un alto nivel de evasión y ofuscación. Si el usuario instalaba la aplicación de manera orgánica desde la tienda de Google, la aplicación se comportaba como cualquier otra aplicación legitima, no obstante, si la aplicación provenía de un anuncio que era controlado por los atacantes, la app procedía a descargar un archivo que contenía la configuración pero cifrada mediante Firebase Remote Config, que habilitaba su verdadero comportamiento malicioso.
A partir de ahí, las aplicaciones descargaban imágenes en formato PNG con esteganografía que contenían fragmentos ocultos de un APK. Una vez que conseguía ensamblar todas las partes del APK en el dispositivo, se desplegaba el módulo de malware conocido como FatModule.
El componente hacía uso de WebViews ocultos, que permitían al atacante recopilar información del dispositivo infectado: simulaba tráfico y cargas de anuncios de forma continua pero de diferentes dominios que eran controlados por los atacantes, esto generaba, por supuesto, millones de impresiones y falsos clics diariamente.
El impacto y la respuesta de Google
Este tráfico fraudulento se concentró más que todo en Estados Unidos con el 30%, luego India con el 10% y Brasil con el 7%, no obstante, SlopAds logró propagarse por todo el mundo. La investigación también descubrió al menos, 300 dominios promocionales que estaban asociados a la campaña, lo que hace pensar que los atacantes iban a expandir más allá de las 224 aplicaciones.
Google por supuesto retiro todas las aplicaciones vinculadas a SlopAds de su tienda de aplicaciones Play Store y actualizo Google Play Protect para advertir a los usuarios y recomendar la desinstalación de forma inmediata de alguna de estas aplicaciones si se encuentra instalada.
Sin embargo, desde HUMAN han advertido que es posible que los atacantes lo vuelvan a intentar mejorando sus tácticas de infección. Por lo tanto, la recomendación para todos los usuarios del sistema operativo Android es clara: evitar a toda cosa descargar aplicaciones de fuente no oficiales, revisar siempre los permisos y mantener activadas todas las protecciones de seguridad del sistema.