Hơn 200 ứng dụng trên Google Play bị xóa do liên quan chiến dịch gian lận quảng cáo tinh vi SlopAds
Mới đây, Google đã xóa bỏ hơn 200 ứng dụng trên Google Play vì liên quan đến chiến dịch gian lận quảng cáo tinh vi mang tên SlopAds, ảnh hưởng tới hàng chục triệu người dùng toàn cầu.
Chiến dịch SlopAds, được nhóm nghiên cứu Satori Threat Intelligence thuộc HUMAN phát hiện, được đánh giá có mức độ tinh vi hiếm thấy. Tổng cộng 224 ứng dụng độc hại được ngụy trang dưới dạng các ứng dụng bình thường, thậm chí sử dụng chủ đề công cụ AI để thu hút người dùng. Những ứng dụng này đã được tải về hơn 38 triệu lần tại 228 quốc gia và vùng lãnh thổ, trở thành một trong những chiến dịch gian lận quảng cáo lớn nhất từng được ghi nhận.
Điểm nguy hiểm là các ứng dụng này có khả năng qua mặt hệ thống bảo mật. Khi tải trực tiếp từ Play Store, ứng dụng hoạt động bình thường như các ứng dụng hợp pháp. Tuy nhiên, nếu được cài đặt thông qua các liên kết quảng cáo, ứng dụng sẽ kích hoạt cơ chế ẩn, sử dụng Firebase Remote Config để tải về các tệp cấu hình mã hóa, sau đó giấu mã độc bên trong bốn hình ảnh PNG.
Cụ thể, khi cài đặt qua các liên kết quảng cáo, ứng dụng sẽ sử dụng Firebase Remote Config để tải xuống tệp cấu hình mã hóa chứa URL của mô-đun phần mềm độc hại, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn.
Khi bị kẻ gian giải mã, các tệp này được ghép thành một module có tên FatModule, phần mềm độc hại chuyên thu thập thông tin thiết bị và trình duyệt, sau đó điều hướng đến các tên miền gian lận do kẻ tấn công kiểm soát, tạo ra hơn 2 tỷ lượt hiển thị và nhấp chuột quảng cáo gian lận mỗi ngày.
Khi cài đặt trên thiết bị, FatModule có thể tạo ra lưu lượng khổng lồ, lên tới 2,3 tỷ lượt hiển thị quảng cáo gian lận mỗi ngày. Trong đó, Mỹ chiếm 30% lượng truy cập, tiếp theo là Ấn Độ (10%) và Brazil (7%). Hoạt động của SlopAds rất phức tạp, với nhiều máy chủ chỉ huy và hơn 300 tên miền quảng cáo liên quan, cho thấy nhóm tấn công có khả năng mở rộng và tái triển khai bất cứ lúc nào.
Trước tình hình này, Google đã nhanh chóng gỡ toàn bộ ứng dụng SlopAds khỏi Play Store và cập nhật Google Play Protect để cảnh báo người dùng. Tuy nhiên, các chuyên gia bảo mật cảnh báo nhóm đứng sau SlopAds có thể thay đổi chiến thuật để tiếp tục hoạt động trong tương lai.
Để bảo vệ thiết bị, người dùng nên kiểm tra và gỡ bỏ các ứng dụng không rõ nguồn gốc, bật Google Play Protect, cập nhật hệ điều hành và ứng dụng thường xuyên, đồng thời chú ý tới quyền truy cập ứng dụng nhằm giảm nguy cơ bị khai thác cho các mục đích gian lận.
