Underc0de - La Casa de los Informáticos

El ecosistema de Android se vio nuevamente afectado por una operación de fraude publicitario a gran escala, descubierta bajo el nombre de SlopAds. Esta campaña maliciosa empleó 224 aplicaciones en Google Play para generar más de 2.3 mil millones de solicitudes de anuncios por día, afectando a usuarios de 228 países y acumulando más de 38 millones de descargas antes de ser interrumpida.

El hallazgo fue realizado por el equipo de Inteligencia de Amenazas Satori de HUMAN, que reveló el nivel de sofisticación detrás de este ataque, el cual combinaba técnicas de ofuscación, esteganografía y cargas dinámicas para evadir las defensas de Google y los sistemas de seguridad móviles.

¿Qué fue la campaña SlopAds?

Los investigadores denominaron la operación SlopAds porque las aplicaciones asociadas parecían producidas en masa, con un estilo que imita a los contenidos de "AI slop" o de baja calidad, y porque los atacantes usaban un servidor C2 (comando y control) lleno de servicios y apps con temática de inteligencia artificial.

El objetivo era claro: simular tráfico publicitario masivo y generar ingresos ilegítimos a través de clics e impresiones falsas. Para ello, los atacantes diseñaron aplicaciones aparentemente inofensivas que, bajo ciertas condiciones, activaban comportamientos maliciosos.

Impacto global del fraude publicitario

La campaña tuvo un alcance mundial:

• 30% del tráfico fraudulento se originó en Estados Unidos.
• 10% en India.
• 7% en Brasil.

Con más de 2.3 mil millones de solicitudes de anuncios diarios, el volumen de tráfico fue tan elevado que llegó a afectar el ecosistema de subastas programáticas de anuncios digitales, generando pérdidas para anunciantes y plataformas de publicidad legítimas.

Técnicas utilizadas por SlopAds

La operación de SlopAds destacaba por su sofisticación técnica, que incluía múltiples capas de evasión y módulos ocultos que solo se activaban bajo condiciones específicas.

1. Evasión en Google Play

Las aplicaciones maliciosas estaban diseñadas para parecer legítimas.

• Si el usuario instalaba la app de forma orgánica desde Google Play, funcionaba de manera normal, cumpliendo con lo que prometía.
• En cambio, si la instalación provenía de una campaña publicitaria controlada por los atacantes, se activaba la fase maliciosa.

2. Configuración remota cifrada

Las apps usaban Firebase Remote Config para descargar un archivo cifrado que contenía:

• Direcciones URL para el módulo de fraude publicitario.
• Servidores de cashout (retiro de dinero).
• Una carga útil de JavaScript maliciosa.

3. Esteganografía en imágenes PNG

Una de las técnicas más llamativas fue el uso de imágenes PNG que ocultaban fragmentos de malware mediante esteganografía.

• Las imágenes descargadas se descifraban en el dispositivo.
• Posteriormente, se ensamblaban para formar un APK malicioso completo, conocido como FatModule.

4. WebViews ocultos para fraude

Una vez activo, FatModule creaba WebViews invisibles en el dispositivo para:

• Recopilar datos del dispositivo y navegador.
• Navegar a dominios falsos controlados por los atacantes.
• Generar clics e impresiones fraudulentas de anuncios en segundo plano.

Gracias a esta técnica, los atacantes llegaron a simular más de 2 mil millones de impresiones publicitarias fraudulentas por día.

Infraestructura de SlopAds

El fraude estaba soportado por una amplia infraestructura digital:

• Múltiples servidores de comando y control (C2).
• Más de 300 dominios promocionales vinculados a la operación.

Esto demuestra que los atacantes tenían planes de expandir la campaña más allá de las 224 aplicaciones inicialmente identificadas, lo que convierte a SlopAds en una de las operaciones de fraude publicitario más grandes jamás vistas en Android.

Respuesta de Google y HUMAN

Tras el informe de HUMAN, Google eliminó todas las aplicaciones maliciosas de Play Store. Además, Google Play Protect se actualizó para advertir a los usuarios sobre la presencia de estas apps en sus dispositivos y recomendar su desinstalación inmediata.

Sin embargo, HUMAN advirtió que, debido al alto nivel de sofisticación de SlopAds, es muy probable que los atacantes intenten reactivar la operación en el futuro con nuevas variantes y técnicas mejoradas.

Lecciones de seguridad para usuarios y anunciantes

La campaña SlopAds deja varias lecciones clave:

• Los usuarios de Android deben extremar precauciones:

• Descargar apps solo de desarrolladores confiables.
• Revisar permisos solicitados por las aplicaciones.
• Mantener Google Play Protect activado y actualizado.

Los anunciantes enfrentan pérdidas millonarias por fraudes de este tipo, lo que obliga a reforzar la verificación de tráfico publicitario y colaborar con equipos de inteligencia de amenazas.

El fraude publicitario evoluciona constantemente:

• Los atacantes usan técnicas avanzadas como esteganografía, WebViews ocultos y configuración dinámica.
• Esto demuestra que la seguridad debe ser un esfuerzo continuo y colaborativo entre empresas tecnológicas y usuarios finales.

En fin, la operación SlopAds es un ejemplo alarmante de cómo los actores de amenazas aprovechan la popularidad de Android y la magnitud de Google Play para desplegar campañas globales de fraude publicitario. Con más de 38 millones de descargas, 224 aplicaciones involucradas y 2.3 mil millones de solicitudes de anuncios por día, este ataque se ubica entre los más grandes jamás detectados en la plataforma.

Aunque Google actuó rápidamente para eliminar las aplicaciones y actualizar sus defensas, el caso de SlopAds confirma que el fraude publicitario seguirá siendo un desafío crítico para el ecosistema digital. Los usuarios deben mantenerse alerta y las empresas de seguridad continuar innovando para detectar este tipo de campañas masivas antes de que generen un impacto mayor.

Fuente: https://www.bleepingcomputer.com/