HackerNews 编译，转载请注明出处： 一个名为 “SlopAds” 的大型广告欺诈团伙，操控了由 224 款应用组成的应用集群。这些应用在全球 228 个国家和地区的总下载量高达 3800 万次。 HUMAN 公司旗下的 Satori 威胁情报与研究团队在一份提交给《黑客新闻》（The Hacker News）的报告中指出：“这些应用通过隐写术（steganography）植入欺诈代码，并创建隐藏的 WebView（网页视图）跳转到攻击者控制的‘变现网站’，以此生成虚假的广告曝光量与点击量。” “SlopAds” 这一名称，一方面暗示该团伙所开发应用的具有“批量生产” 属性，另一方面则源于攻击者在其命令与控制（C2）服务器上托管的多款人工智能（AI）主题服务，包括 StableDiffusion（AI 绘图工具）、AIGuide（AI 指南类服务）及 ChatGLM（AI 对话模型）。 HUMAN 公司表示，该欺诈活动在高峰期每日发起的广告竞价请求达23 亿次。从流量来源看，SlopAds 关联应用的用户主要集中在美国（占比 30%）、印度（占比 10%）和巴西（占比 7%）。目前，谷歌已将所有违规应用从 Play 商店下架，有效遏制了这一威胁。 该欺诈活动的一大显著特征的是：当用户下载 SlopAds 关联应用后，应用会调用移动营销归因 SDK（软件开发工具包），核查自身的下载渠道，确认是用户自然下载（用户直接从 Play 商店下载），还是非自然下载（点击广告后跳转至 Play 商店列表下载）。 只有在非自然下载的场景下，应用才会触发欺诈行为：从 C2 服务器下载名为 “FatModule” 的广告欺诈模块。反之，若应用是通过自然下载安装，其行为会与应用商店页面上宣传的功能完全一致。 HUMAN 的研究人员表示：“SlopAds 团伙不仅开发‘仅在特定场景下实施欺诈’的应用，还为其添加层层混淆技术。这一行为印证了一个趋势，即数字广告生态系统面临的威胁，其复杂程度正在不断升级。” “这种策略为攻击者构建了更完整的‘反馈循环’：只有当他们判断设备未被安全研究人员检测时，才会触发欺诈行为。此举能将恶意流量混入合法推广数据中，大幅增加了检测难度。” FatModule 模块通过 4 个 PNG 图像文件进行传输，这些图像中隐藏了 APK（安卓应用安装包）文件。该 APK 文件会在设备中被解密、重组，随后执行两项核心操作：收集设备与浏览器信息，以及通过隐藏 WebView 实施广告欺诈。 研究人员进一步指出：“SlopAds 的一种变现方式，是通过攻击者控制的 HTML5游戏网站与新闻网站。这些游戏网站会高频次展示广告，且由于加载网站的 WebView 处于隐藏状态，在 WebView 关闭前，网站能通过大量虚假广告曝光与点击实现盈利。” 调查发现，推广 SlopAds 关联应用的域名，均指向另一个名为 “ad2 [.] cc” 的域名。该域名是 SlopAds 团伙的二级（Tier-2）C2 服务器。截至目前，研究人员已识别出约 300 个用于推广此类欺诈应用的域名。 值得注意的是，此次 SlopAds 事件曝光的两个月前，HUMAN 公司曾披露另一起广告欺诈案 “IconAds”，该案件涉及 352 款安卓应用。 HUMAN 公司首席信息安全官加文・里德表示：“SlopAds 事件凸显了移动广告欺诈的‘进化趋势’，其不仅具备‘隐蔽性’‘条件触发式欺诈’的特征，还拥有快速规模化攻击的能力。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文