大規模Android廣告欺詐團伙“SlopAds”被瓦解：利用224款惡意應用日均發起23億次廣告請求

一個名為“SlopAds”的大規模Android廣告欺詐團伙已被瓦解。此前，該團伙通過Google Play商店中的224款惡意應用，日均發起23億次廣告請求。

這一廣告欺詐活動由HUMAN公司的Satori威脅情報團隊發現。據報告，這些惡意應用的下載量超過3800萬次，且通過代碼混淆和隱寫術隱藏惡意行為，規避谷歌的檢測與安全工具的掃描。

SlopAds的影響范圍覆蓋全球，來自228個國家的用戶曾安裝過相關應用。該團伙日均發起23億次廣告競價請求，其中廣告曝光量最高的地區為美國（占比30%），其次是印度（10%）和巴西（7%）。

研究人員將該活動命名為“SlopAds”，一方面是因為相關惡意應用表面看似批量生成，類似AI粗制內容；另一方面，也是參考了威脅者命令與控制（C2）服務器上托管的一系列AI主題應用及服務。

與SlopAds廣告欺詐活動相關的Android應用程序

SlopAds廣告欺詐活動的技術細節

為規避谷歌的應用審核流程與安全軟件檢測，SlopAds的廣告欺詐機制包含多層逃避策略，具體攻擊流程如下：

1. 根據安裝來源判斷行為模式：若用戶從Play商店“自然安裝”該應用（非通過團伙投放的廣告跳轉），應用會偽裝成正常應用，執行其宣稱的功能（如工具類、娛樂類功能）；

SlopAds 廣告欺詐惡意軟件工作流程

但如果檢測到用戶是通過點擊團伙投放的廣告安裝應用，就會通過Firebase遠程配置下載一個加密配置文件——該文件包含廣告欺詐惡意模塊的URL、提現服務器地址及JavaScript載荷。

2. 設備環境驗證：應用會進一步判斷自身是否安裝在“真實用戶設備”上，以避開研究人員或安全軟件的分析環境。

3. 通過隱寫術加載惡意模塊：若通過上述所有檢測，應用會下載4張PNG圖片——這些圖片通過隱寫術隱藏了惡意APK（安卓應用安裝包）的碎片。

使用隱寫術將惡意代碼隱藏在圖像中

圖片下載完成后，設備會對其解密并重組，生成完整的“FatModule”惡意軟件，該軟件是實施廣告欺詐的核心組件。

4. 發起廣告欺詐并獲利：FatModule激活后，會通過隱藏的WebView（網頁視圖）收集設備與瀏覽器信息，隨后跳轉到攻擊者控制的廣告欺詐（提現）域名。

這些域名偽裝成游戲網站或新聞網站，通過隱藏的WebView界面持續加載廣告，日均生成超20億次欺詐性廣告曝光與點擊，為攻擊者創造非法收益。

后續處置與風險預警

HUMAN指出，SlopAds的基礎設施包含多個C2服務器及300多個相關推廣域名，這表明威脅者原本計劃在已發現的224款應用之外，進一步擴大攻擊范圍。

目前，谷歌已從Play商店下架所有已確認的SlopAds惡意應用，且Android系統的“Google Play Protect”功能已完成更新——若用戶設備中仍存在此類應用，該功能會發出警告，提示用戶卸載。

根據此次廣告欺詐活動的技術復雜度表明，威脅者很可能會調整攻擊方案在未來發起新的欺詐活動，用戶應隨時保持警惕態度。

參考及來源：https://www.bleepingcomputer.com/news/security/google-nukes-224-android-malware-apps-behind-massive-ad-fraud-campaign/