O Google interrompeu uma campanha de aplicações maliciosas na Play Store que atingiu mais de 38 milhões de downloads no total. A operação, chamada SlopAds, contava com 224 aplicações nocivas na loja oficial do Google.
A atividade foi identificada pela equipa Satori Threat Intelligence, da empresa de cibersegurança HUMAN. Os investigadores revelaram que essas aplicações utilizavam códigos maliciosos com recurso a esteganografia — uma técnica que esconde malware dentro de imagens.
Além disso, as apps criavam WebViews ocultos que redirecionavam os utilizadores para sites que permitiam que agentes maliciosos lucrassem com impressões de anúncios e cliques.
No total, a SlopAds alcançou 2,3 mil milhões de pedidos de licitação por dia, com a maior parte do tráfego a vir dos Estados Unidos (30%), seguida da Índia (10%) e do Brasil (7%).
Técnicas para escapar da Google Play Store
Para escapar às proteções da Google Play Store, os programadores destas aplicações recorreram a uma técnica sofisticada com o Firebase Remote Config, uma ferramenta legítima do Google que permitia descarregar ficheiros de configuração encriptados contendo as URLs (endereços das páginas web) infetadas por módulos de malware.
De seguida, a aplicação instalada fazia a verificação do utilizador que a tinha descarregado. Através de uma plataforma de marketing móvel, os agentes da ameaça conseguiam analisar se a app tinha sido descarregada de forma orgânica (apenas via Play Store) ou de forma não orgânica (quando o utilizador clicava num anúncio que direcionava para a loja).
Se a aplicação fosse descarregada de forma orgânica, não apresentava comportamento malicioso e não havia fraude. No entanto, se fosse instalada através de um clique num anúncio online, executava o FatModule — o módulo de fraude de anúncios.
O papel do FatModule
Nos casos em que a atividade maliciosa prosseguia, o FatModule era entregue através de quatro ficheiros PNG que utilizavam esteganografia digital para o esconder. Depois de ativado, o módulo de fraude abria links para domínios que capturavam informações do dispositivo e do navegador, permitindo aos agentes maliciosos obter lucros financeiros.
“Estes sites de jogos exibem anúncios com frequência e, como o WebView em que os sites são carregados fica oculto, podem monetizar inúmeras impressões de anúncios e cliques antes que o WebView seja encerrado.”
- Investigadores da Satori Threat Intelligence.
Apps já foram removidos da Play Store
Os investigadores identificaram mais de 300 domínios relacionados com as aplicações da campanha SlopAds.
Felizmente, todas as aplicações ligadas à SlopAds já foram removidas da Play Store. Assim, a recomendação mantém-se a mesma de outros casos em que apps maliciosas são identificadas na loja do Google: manter o Google Play Protect sempre ativo no dispositivo. Esta funcionalidade sinaliza aplicações nocivas detetadas pela equipa de segurança do Google.
