SlopAds: 38 millones de instalaciones de aplicaciones que envían 2.300 millones de ofertas al día

Redazione RHC : 17 septiembre 2025 14:57

Un fraude publicitario masivo llamado SlopAds se ha ocultado tras cientos de aplicaciones de Android «inofensivas» y ha alcanzado proporciones globales. Recientemente, el equipo de Satori en HUMAN describió cómo 224 aplicaciones han acumulado un total de 38 millones de instalaciones en 228 países y territorios, generando hasta 2300 millones de pujas al día en horas punta.

Google eliminó todas las aplicaciones detectadas de Play Store, pero la táctica en sí merece un análisis aparte: demuestra lo sofisticado que se ha vuelto el fraude de clics e impresiones.

La compilación se basa en la simulación de ejecución de un comportamiento malicioso. Tras la instalación, la aplicación accede al SDK de Atribución de Marketing Móvil y determina el origen de la instalación, ya sea un clic orgánico desde Play o una visita a la tienda a través de un anuncio.

Solo en este último caso se activa el comportamiento fraudulento: el programa extrae un módulo llamado FatModule del servidor de control y, si el origen está «limpio», se comporta como se describe en la página de la tienda. Este filtro proporciona información útil a los operadores del sistema: se reduce el riesgo de detección por parte de análisis de bajo nivel y el tráfico falso se ve oculto por campañas legítimas.

La implementación de FatModule no es trivial. La aplicación recibe cuatro imágenes PNG que contienen partes del archivo APK ocultas esteganográficamente. Los componentes se descifran y se ensamblan en el dispositivo. Tras lo cual, el módulo recopila información sobre el entorno (parámetros del dispositivo y del navegador) y despliega actividades invisibles en una vista web oculta: abrir páginas, desplazarse, iniciar clics y mostrar anuncios. Un método de monetización son los sitios web de juegos y noticias, donde se muestran anuncios con mucha frecuencia; hasta que se cierra la ventana invisible, el contador de impresiones y clics aumenta.

La red de dominios de soporte está estructurada en varios niveles. Las plataformas que promocionan las aplicaciones convergen en el nodo «ad2.cc», que funciona como un C2 de nivel 2. En total, se han identificado aproximadamente 300 nombres de dominio relacionados con la distribución y la gestión. En el servidor de gestión, los investigadores encontraron servicios de IA con nombres que se explican por sí solos (StableDiffusion, AIGuide, ChatGLM), lo que sugiere la naturaleza de «cadena de montaje» de la producción de contenido y aplicaciones. Según HUMAN, el principal flujo de tráfico provino de Estados Unidos, que representó alrededor del 30 %, seguido de India con el 10 % y Brasil con el 7 %.

El esquema se ve aún más enmascarado por la ofuscación multinivel, y la ejecución condicional basada en el código fuente de la instalación dificulta la depuración. Como resultado, las plataformas publicitarias y los sistemas antifraude reciben una combinación de señales reales y falsas, y estas últimas se activan intencionalmente solo cuando la probabilidad de la presencia de un analista es mínima.

HUMAN ya había reportado otro esquema similar, IconAds, que involucraba 352 aplicaciones de Android, lo que confirma la rápida propagación de tales operaciones. En el caso de SlopAds, la limpieza de la tienda de Play Store detuvo la propagación, pero las técnicas identificadas (esteganografía, contenedores ocultos en el navegador y activación de la atribución condicional) ya se han convertido en parte del arsenal del fraude industrial.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli