随着移动互联网的发展,数字广告市场规模不断扩大,但同时也成为网络犯罪分子的重灾区之一。近期,安全研究团队发现一名代号为SlopAds的广告欺诈团伙暗中操纵224款安卓应用程序,累计下载量超过3800万次,覆盖全球228个国家和地区。该团伙每日发起高达23亿次的广告竞价请求,严重扰乱移动广告生态系统的正常运行。SlopAds事件揭示了网络广告欺诈日趋隐蔽和复杂的趋势,值得业界高度关注。该团伙利用了一系列技术手段来实现其广告欺诈目的。首先,这些应用程序通过隐写技术(Steganography)隐藏恶意Payload,将欺诈模块巧妙地伪装在无害的图片文件中,规避传统安全检测。
安装后,应用内置的隐藏WebView组件自动访问威胁方控制的"现金兑现"网站,通过伪造广告展示和点击行为来产生虚假的广告流量。值得注意的是,SlopAds的操作具有高度的针对性和条件性。他们通过监测安装来源来筛选攻击对象,只有当应用是通过点击广告跳转至应用商店后下载并安装,才会激活内置的欺诈模块FatModule。而直接从应用商店有机安装的用户则不会受到影响,使其看似正常,迷惑安全分析和检测系统。这种行为不仅提升了攻击的隐蔽性,也增加了检测难度,有效混淆了恶意流量与真实流量的边界。此外,SlopAds利用人工智能相关服务,包括StableDiffusion、AIGuide以及ChatGLM,为其指挥控制服务器(C2服务器)提供支持,显示出其技术和资源的先进性。
FatModule通过四个PNG文件组合成完整APK后,能够收集设备信息与浏览器数据,定位和调整欺诈策略,进一步提高了欺诈活动的效率。SlopAds团伙还采用了多层次的资金提现机制。隐藏的WebView组件会频繁加载由威胁方拥有的HTML5游戏和新闻网站,这些网页会不断展示广告并模拟真实用户点击,大幅提升广告收益。在欺诈者的控制下,这些隐藏的广告点击和展示实际上是无人观看的"僵尸流量",却造成了广告主的巨额财务损失。此外,相关域名分析显示,SlopAds的宣传平台数量庞大,约有300个域名直接关联该欺诈活动,形成庞大的控制网络。部分域名最终会指向名为ad2.cc的二级C2服务器,体现了其复杂的组织架构和指挥体系。
Google Play商店已介入并移除了所有涉案应用,成功切断了SlopAds的主要传播路径,对威胁形成遏制。然而,广告欺诈的本质是持续演变的,SlopAds事件只是冰山一角。类似的高风险欺诈团伙并不罕见,且其作案手法日益成熟。业内专家警告,利用精准条件触发和隐蔽模块传输等技术,提高了检测难度,要求行业结合人工智能与大数据分析,提升广告流量审核能力。移动广告生态系统需要加强设备安全防护和对应用行为的全面审查,尤其是对第三方SDK和广告代码的安全审计。平台应提升安装后行为监控能力,及时识别非真实的广告互动数据,加强对异常流量和点击模式的检测。
广告主也需保持警惕,采用多渠道验证广告效果,防止资金被欺诈攻击侵蚀。SlopAds团伙的案例提醒了整个移动广告行业,只有跨部门协作,包括开发者、平台、广告主及安全技术提供方携手,才能有效抵御复杂的广告欺诈威胁。总结来看,SlopAds广告欺诈团伙利用先进的隐写技术和条件激活机制,借助人工智能工具支持,实现了大规模且高度隐秘的广告欺诈活动,给全球数字广告生态带来了巨大的风险和挑战。为保障移动广告的健康发展,提升安全技术防御和行业合作力度刻不容缓。 。
