SlopAds adlı dolandırıcılık grubu, 224 Android uygulamasını kullanarak dünya genelinde 228 ülke ve bölgede toplam 38 milyon indirme elde etti. Bu uygulamalar, steganografi yöntemiyle dolandırıcılık verilerini gizleyip, tehdit aktörlerinin kontrolündeki nakit çekim sitelerine gizli WebView’lar aracılığıyla sahte reklam gösterimleri ve tıklamalar oluşturuyor.
Yapay Zeka Destekli Komut ve Kontrol
Grubun adı, uygulamaların seri üretim doğasına ve komut ve kontrol (C2) sunucusunda barındırılan StableDiffusion, AIGuide ve ChatGLM gibi yapay zeka tabanlı hizmetlere gönderme yapıyor. Kampanya zirvesinde günlük 2,3 milyar reklam teklifi oluştururken, trafiğin büyük kısmı ABD (%30), Hindistan (%10) ve Brezilya (%7) kaynaklı.
Koşullu Dolandırıcılık ve Gizlilik Katmanları
Uygulama, sadece reklam tıklaması sonrası indirildiğinde dolandırıcılık modülü FatModule’u C2 sunucusundan indirerek sahte reklam etkinliklerini başlatıyor. Orijinal yüklemede ise uygulama mağaza sayfasında tanıtıldığı gibi davranıyor. FatModule, dört PNG dosyası içinde gizlenen şifreli APK’yı cihaz bilgileri toplayarak çalıştırıyor ve gizli WebView’lar üzerinden reklam dolandırıcılığı yapıyor.
Gizli WebView ve Nakit Çekim Mekanizması
Tehdit aktörleri, HTML5 tabanlı oyun ve haber siteleri üzerinden reklam gösterimleriyle gelir elde ediyor. Bu siteler gizli WebView’larda çalıştığı için, WebView kapanmadan çok sayıda reklam gösterimi ve tıklaması sağlanabiliyor. SlopAds uygulamalarını tanıtan yaklaşık 300 alan adı tespit edilirken, bunların bir kısmı Tier-2 C2 sunucusu olarak ad2[.]cc alan adına bağlı.
Gelişmiş Mobil Reklam Dolandırıcılığı
HUMAN araştırmacıları, SlopAds’ın dijital reklam ekosistemine yönelik tehditlerin giderek karmaşıklaştığını ve koşullu tetikleme ile tespiti zorlaştıran sofistike yöntemler kullandığını belirtiyor. Bu durum, mobil reklam dolandırıcılığında yeni bir evreyi işaret ediyor.