كشف باحثو الأمن السيبراني عن واحدة من أضخم عمليات الاحتيال الإعلاني والنقر الاحتيالي، أطلق عليها اسم SlopAds، والتي اعتمدت على 224 تطبيقًا تم تنزيلها أكثر من 38 مليون مرة في 228 دولة وإقليمًا.
آلية الاحتيال عبر التطبيقات
بحسب تقرير فريق Satori التابع لشركة HUMAN، فإن التطبيقات الاحتيالية تقوم بتحميل الشيفرة الضارة باستخدام تقنية إخفاء البيانات داخل الصور (Steganography)، ثم تنشئ نوافذ WebView مخفية للتصفح إلى مواقع يسيطر عليها المهاجمون، وذلك لتوليد نقرات وانطباعات إعلانية مزيفة.
استعارت التسمية “SlopAds” من الطابع الإنتاجي الضخم للتطبيقات، ومن استخدام المهاجمين لخدمات ذات طابع ذكاء اصطناعي مثل StableDiffusion وAIGuide وChatGLM المستضافة على خوادم القيادة والسيطرة (C2).
في ذروة نشاطها، تسببت الحملة في 2.3 مليار طلب مزايدة يوميًا، مع تسجيل أكبر نسبة من حركة المرور من الولايات المتحدة (30%)، تلتها الهند (10%) والبرازيل (7%). وأعلنت جوجل لاحقًا حذف جميع التطبيقات الضارة من متجر بلاي، ما أدى إلى تعطيل الحملة.
خداع مشروط وصعوبة الاكتشاف
من أبرز ما يميز SlopAds هو أنها لا تُفعّل النشاط الاحتيالي إلا إذا تم تنزيل التطبيق عبر نقرة إعلان (تنزيل غير عضوي)، بينما إذا تم تثبيته مباشرة من متجر بلاي فإنه يعمل بشكل طبيعي كما هو مذكور في صفحة التطبيق.
في حالات التنزيل عبر الإعلان، يقوم التطبيق بتحميل وحدة احتيال تدعى FatModule من خادم C2، والتي يتم تمريرها عبر أربع صور PNG تحتوي على ملف APK مخفي يتم فك تشفيره وإعادة تجميعه لجمع بيانات الجهاز والمتصفح وتنفيذ الاحتيال الإعلاني عبر WebViews المخفية.
ويوضح باحثو HUMAN أن هذه الاستراتيجية «تضيف طبقات متتالية من التمويه، وتنفّذ الاحتيال فقط في ظروف معينة، مما يزيد من صعوبة الكشف ويمزج بين حركة المرور الشرعية والمزيفة». هذه الآلية تمنح المهاجمين حلقة تغذية راجعة متكاملة تساعدهم على تفادي الباحثين الأمنيين.
آليات الربح والبنية التحتية
أحد أساليب الربح المعتمدة لدى المهاجمين هو استغلال مواقع ألعاب HTML5 أو مواقع إخبارية يملكونها، حيث تُعرَض الإعلانات بكثافة داخل WebViews غير مرئية، ما يتيح تحقيق آلاف الانطباعات والنقرات قبل إغلاق النافذة.
وتم تحديد نحو 300 نطاق تروّج لتطبيقات SlopAds، ترتبط جميعها بنطاق مركزي هو ad2[.]cc الذي يعمل كخادم قيادة من المستوى الثاني (Tier-2 C2).
تزايد تعقيد الاحتيال الإعلاني
تأتي هذه التطورات بعد أكثر من شهرين من كشف HUMAN عن شبكة احتيالية مشابهة أطلق عليها IconAds تضم 352 تطبيقًا أندرويد.
ويقول غافن ريد، المدير الأمني الأول لدى HUMAN: «تجسد SlopAds مدى التطور المتسارع في أساليب الاحتيال الإعلاني عبر الهاتف المحمول، بما يشمل التنفيذ الاحتيالي المشروط وقدرات التوسع السريع، ما يجعل التهديد أكثر خطورة على منظومة الإعلانات الرقمية».
