Rimosse 224 app dal Google Play Store: ecco cosa facevano all’insaputa dell’utente
Sgominata rete di app malevole: oltre 224 app presenti sul Play Store nascondevano funzioni fraudolente. Il telefono della vittima veniva pilotato per cliccare su banner pubblicitari.
Il team Satori di HUMAN ha individuato e interrotto una sofisticata campagna di ad fraud e click fraud battezzata SlopAds. L’operazione, che sfruttava 224 app distribuite su Google Play Store e scaricate oltre 38 milioni di volte in 228 Paesi, aveva raggiunto un picco di 2,3 miliardi di richieste di inserzioni al giorno. Le app, accomunate da un tema legato all’intelligenza artificiale, utilizzavano tecniche avanzate come la steganografia per nascondere codice malevolo e WebView invisibili per generare impression e clic fraudolenti.
Come agiva SlopAds
Le applicazioni coinvolte sfruttavano Firebase Remote Config per scaricare configurazioni criptate contenenti moduli fraudolenti, tra cui il cosiddetto FatModule. Una delle caratteristiche più insidiose era la capacità di distinguere tra installazioni organiche e non organiche: solo gli utenti che scaricavano un’app tramite una campagna pubblicitaria venivano coinvolti nella frode, mentre per gli altri l’app si comportava normalmente. In questo modo, i criminali riuscivano a ridurre la probabilità di essere individuati.
Una volta attivata la componente malevola, l’app raccoglieva informazioni sul dispositivo e avviava WebView nascosti, caricando siti di proprietà dei threat actor e generando traffico pubblicitario fittizio. Le richieste venivano manipolate tramite redirect multipli per sembrare più legittime, mentre gli annunci venivano cliccati automaticamente in posizioni precise. Una parte del guadagno derivava anche da siti di giochi e notizie creati ad hoc dai criminali.
La risposta e le contromisure
Secondo i ricercatori, SlopAds era supportata da un’ampia rete di server di comando e controllo e domini promozionali, con evidenti piani di espansione. Google ha già rimosso le app identificate dal Play Store, mentre Play Protect avvisa e blocca automaticamente quelle che presentano comportamenti sospetti, anche se scaricate da fonti esterne.
Gli utenti che hanno installato app legate a SlopAds ricevono un avviso per la disinstallazione immediata. La scoperta conferma come le operazioni di ad fraud stiano diventando sempre più complesse e mirate, sfruttando tecniche avanzate per eludere i controlli. Un fenomeno che sottolinea la necessità di strumenti di difesa sempre più sofisticati per proteggere sia gli utenti sia l’intero ecosistema pubblicitario digitale.
