Ảnh minh họa (Nguồn: Internet)
Theo Blemping Computer, một chiến dịch gian lận quảng cáo trên Android có tên gọi là “SlopAds” vừa bị phát hiện. Chiến dịch này đã lợi dụng 224 ứng dụng độc hại trên Google Play, từ đó tạo ra tới 2,3 tỷ lượt quảng cáo giả mỗi ngày, khiến hệ thống quảng cáo trực tuyến chịu thiệt hại nặng nề.
Đáng lo ngại hơn, theo báo cáo của nhóm nghiên cứu an ninh mạng Satori thuộc công ty HUMAN, những ứng dụng này đã có hơn 38 triệu lượt tải xuống. Không chỉ dừng lại ở số lượng khổng lồ, chúng còn được thiết kế tinh vi, sử dụng kỹ thuật che giấu và mã hóa chữ ẩn nhằm qua mặt quy trình kiểm duyệt của Google cũng như né tránh các công cụ bảo mật.
Các ứng dụng Android liên quan đến chiến dịch gian lận quảng cáo SlopAds. (Nguồn: HUMAN Satori)
Chiến dịch SlopAds không chỉ dừng lại ở một vài khu vực mà đã lan rộng trên toàn cầu, có tới 38 triệu lượt tải xuống ứng dụng từ 228 quốc gia và vùng lãnh thổ.
Trung bình mỗi ngày, hệ thống này tạo ra tới 2,3 tỷ lượt yêu cầu quảng cáo giả. Trong đó, lượng hiển thị quảng cáo tập trung nhiều nhất tại Hoa Kỳ (30%), tiếp theo là Ấn Độ (10%) và Brazil (7%).
Điểm khiến SlopAds trở nên cực kỳ nguy hiểm và khó phát hiện nằm ở cơ chế hoạt động hai mặt của nó.
Khi được cài đặt “bình thường” từ Google Play, các ứng dụng liên quan hiển thị như một ứng dụng hợp lệ, thực hiện đúng chức năng được quảng cáo để không gây nghi ngờ.
Ngược lại, nếu người dùng cài đặt thông qua một liên kết quảng cáo độc hại, ứng dụng sẽ lập tức dẫn người dùng đến đường dẫn chứa mô-đun gian lận, máy chủ rút tiền và các đoạn mã JavaScript độc hại.
Tiếp đó, ứng dụng chạy một loạt kiểm tra tinh vi nhằm phân biệt thiết bị thật với môi trường phân tích của nhà nghiên cứu hoặc phần mềm bảo mật. Chỉ khi “xác thực” là người dùng thật, nó mới tiếp tục hành vi độc hại. Chính điều này giúp SlopAds né tránh được nhiều biện pháp phát hiện gian lận tự động.
Tiếp theo, ứng dụng sẽ tải về bốn file ảnh PNG mà trên bề mặt trông vô hại. Thực tế, những ảnh này chứa mã lén (kỹ thuật ẩn chữ), chúng không dùng để hiển thị mà chứa các phần mã của APK độc hại. Các file ảnh được giải mã và ghép lại ngay trên thiết bị, tạo thành một mô-đun hoàn chỉnh mang tên FatModule.
Khi FatModule được kích hoạt, nó chạy WebView ẩn (một trình duyệt nhỏ chạy ngầm) để thu thập thông tin thiết bị, rồi tự động mở và điều hướng đến hàng loạt tên miền do kẻ tấn công kiểm soát. Những trang giả mạo này liên tục hiển thị quảng cáo trong nền, sinh ra hàng tỉ lượt hiển thị và nhấp chuột ảo, qua đó tạo doanh thu cho kẻ gian.
Mã độc ẩn trong hình ảnh bằng kỹ thuật ẩn chữ. (Nguồn: HUMAN Satori)
Kết quả phân tích từ HUMAN chỉ ra, SlopAds được vận hành dựa trên một cấu trúc phức tạp, không chỉ dựa vào các ứng dụng độc hại mà còn kết hợp với hệ thống máy chủ chỉ huy – kiểm soát cùng hơn 300 tên miền quảng cáo liên quan. Điều đó chứng tỏ kẻ tấn công đã chuẩn bị cho việc mở rộng quy mô vượt xa 224 ứng dụng ban đầu bị phát hiện.
Trước tình hình đó, Google đã nhanh chóng gỡ bỏ toàn bộ ứng dụng SlopAds khỏi Cửa hàng Play, đồng thời cập nhật Google Play Protect để cảnh báo người dùng và khuyến nghị gỡ cài đặt nếu ứng dụng vẫn còn tồn tại trên thiết bị.
Các chuyên gia từ HUMAN cho rằng việc SlopAds bị phát hiện và triệt phá chưa đồng nghĩa với việc mối nguy đã chấm dứt. Với mức độ tinh vi của chiến dịch này, kẻ xấu hoàn toàn có thể thay đổi chiêu trò và quay lại trong tương lai. Đây cũng là lời nhắc nhở rằng cả người dùng lẫn các nền tảng công nghệ cần luôn cảnh giác, bởi gian lận quảng cáo ngày càng trở nên tinh vi và nguy hiểm hơn.
(Nguồn: Blemping Computer)