Una sofisticada operación de fraude publicitario móvil denominado “Slopads” se ha infiltrado en Google Play Store con 224 aplicaciones maliciosas que acumularon colectivamente más de 38 millones de descargas en 228 países y territorios.
La campaña representa uno de los esquemas de fraude móvil más extensos descubiertos hasta la fecha, utilizando técnicas de esteganografía avanzada y ofuscación de múltiples capas para entregar cargas publicitarias fraudulentas mientras evade mecanismos de detección.
Los actores de amenaza detrás de Slopads demostraron una notable sofisticación al implementar un sistema de fraude condicional que solo se activó cuando los usuarios descargaron aplicaciones a través de campañas publicitarias específicas, en lugar de visitas de juegos orgánicos.
Este mecanismo de activación selectiva ayudó a las aplicaciones maliciosas a mantener su presencia en la plataforma durante períodos prolongados mientras aparece legítimo para los usuarios casuales y los sistemas de seguridad automatizados.
Analistas de seguridad humana identificado La operación al investigar los patrones anómalos en sus datos de solución de defensa de fraude publicitario.
Los investigadores descubrieron que las aplicaciones de Slopads estaban generando aproximadamente 2.300 millones de solicitudes de ofertas fraudulentas diariamente en la operación máxima, con una distribución de tráfico muy concentrada en los Estados Unidos (30%), India (10%) y Brasil (7%).
Distribución global del tráfico asociado a Slopads (fuente-Seguridad humana)
El alcance global y la escala masiva de la campaña subrayan la sofisticada infraestructura y las capacidades operativas de la amenaza de los actores.
Las aplicaciones maliciosas emplearon la configuración remota de Firebase, una herramienta legítima de desarrollo de Google, para recuperar datos de configuración cifrados que contienen URL para descargar el módulo de fraude primario llamado “Fatmodule”.
Este abuso de plataformas de desarrollo confiable demuestra cómo los ciberdelincuentes aprovechan cada vez más los servicios legítimos para enmascarar sus actividades maliciosas y evitar la detección por soluciones de seguridad.
Sistema avanzado de entrega de carga útil esteganográfica
Slopads empleó un mecanismo de entrega de carga útil particularmente innovador que mostró la sofisticación en evolución de las operaciones de malware móvil.
El sistema utilizó una esteganografía digital para ocultar el código malicioso dentro de los archivos de imagen PNG aparentemente inocuos, evitando efectivamente los métodos de escaneo de seguridad tradicionales que se centran en el análisis de archivos ejecutables.
Operación de Slopads (fuente – Seguridad humana)
Cuando una aplicación infectada pasó las verificaciones de verificación iniciales, los servidores de comando y control entregaron cuatro archivos PNG especialmente diseñados a través de archivos ZIP cifrados.
Estas imágenes contenían componentes APK ocultos que, cuando se descifraban y se vuelven a montar, formaban el Fatmodule completo responsable de ejecutar las operaciones de fraude.
El enfoque esteganográfico permitió que la carga útil maliciosa recorriera filtros de seguridad de red y sistemas de escaneo de almacenes de aplicaciones sin activar los algoritmos convencionales de detección de malware.
Fatmodule incorporó múltiples características anti-análisis, incluida la detección de herramientas de depuración que buscó específicamente marcos de enganche, módulos xpuestos y herramientas de instrumentación Frida comúnmente utilizadas por los investigadores de seguridad.
Además, el módulo empleó el cifrado de cadena en toda su base de código y utilizó un código nativo empacado para oscurecer su verdadera funcionalidad de las herramientas de análisis estático.
public static boolean m455535a () {try {stackTraceElement () stackTrace = thread.currentThread (). getStackTrace (); for (stackTraceElement Element: StackTrace) {String className = element.getClassName () + “#” + element.getMethodName (); if (classname.tolowerCase (). contiene (“gancho”) || classname.tolowerCase (). contiene (“xpose”) || classname.tolowercase (). contiene (“frida”)) {return true; }}} Catch (Exception e) {E.PrintStackTrace (); } return false; }
La ejecución de fraude ocurrió dentro de las vistas web ocultas que recopilaron datos integrales de huellas dactilares del dispositivo, incluidas las especificaciones de hardware, la información de la red y los detalles de la GPU.
Esta información permitió una orientación precisa, mientras que las interfaces ocultas navegaban con los dominios de retocación controlados por el actor de amenaza, generando impresiones y clics de publicidad fraudulentos sin conciencia o interacción del usuario.
Desde entonces, Google ha eliminado todas las aplicaciones de Slopads identificadas de Play Store, y los usuarios reciben protección automática a través de Google Play Protect, que advierte y bloquea la instalación de aplicaciones maliciosas conocidas incluso de fuentes de terceros.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
