A campanha, chamada SlopAds, foi interrompida pela Google após o alerta da equipa Satori Threat Intelligence da HUMAN. De acordo com os investigadores, a operação fraudulenta teve um alcance global, com o volume mais elevado de tráfego a ser gerado em países como os Estados Unidos (30%), Índia (10%) e Brasil (7%).

Segundo a equipa, a campanha recorria a várias táticas avançadas para evitar a deteção e contornar as medidas de segurança da loja de aplicações da Google. Por exemplo, se um utilizador instalasse uma das apps visadas diretamente na Play Store, sem chegar lá através de um dos anúncios da campanha, o seu comportamento não se alteraria, executando as funcionalidades anunciadas.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

Por outro lado, ao ser instalada através de um dos anúncios que faziam parte da campanha, o comportamento da app muda. Além de verificar se estava a ser instalada num equipamento de um utilizador comum, a app faz o download de um ficheiro de configuração encriptado que continha ligações para os seus componentes maliciosos.

Neste processo, a app descarrega também quatro imagens PNG que escondem fragmentos de um ficheiro APK malicioso, usado para “alimentar” a campanha com anúncios fraudulentos. As imagens são depois desencriptadas e reconstituídas para formar um malware chamado FatModule.

Ao ser ativado, o software malicioso recolhe dados sobre o equipamento e browser, acedendo a domínios fraudulentos controlados pelos atacantes. Os domínios faziam-se passar por websites de jogos e notícias, apresentando anúncios escondidos de maneira contínua, o que permitiu gerar mais de 2 mil milhões de impressões fraudulentas e lucro para os cibercriminosos.

Os investigadores, que partilharam o seu trabalho no website da HUMAN, detalham que a infraestrutura da campanha incluía múltiplos servidores de comando e controlo, assim como mais de 300 domínios promocionais relacionados, o que sugere que os atacantes estavam a planear a expansão da operação.

Além de remover as aplicações maliciosas, a Google atualizou também o sistema Google Play Protect para alertar os utilizadores caso alguma delas seja encontrada nos seus equipamentos.