Mới đây, hơn 200 ứng dụng trên Google Play vừa bị Google xóa bỏ vì liên quan đến chiến dịch gian lận quảng cáo tinh vi mang tên SlopAds, ảnh hưởng tới hàng chục triệu người dùng toàn cầu.
Chiến dịch SlopAds được nhóm nghiên cứu Satori Threat Intelligence của HUMAN phát hiện, cho thấy mức độ tinh vi hiếm thấy. 224 ứng dụng độc hại được ngụy trang dưới dạng các ứng dụng bình thường, thậm chí mang chủ đề công cụ AI để dễ thu hút người dùng. Chúng đã được tải về hơn 38 triệu lần tại 228 quốc gia và vùng lãnh thổ, trở thành một trong những chiến dịch gian lận quảng cáo lớn nhất từng được ghi nhận.
Điểm nguy hiểm là các ứng dụng này có thể qua mặt hệ thống bảo mật. Nếu người dùng tải trực tiếp từ Play Store, ứng dụng hoạt động như ứng dụng hợp pháp. Nhưng nếu được cài đặt thông qua các đường dẫn quảng cáo, ứng dụng sẽ kích hoạt cơ chế ẩn: Sử dụng “Firebase Remote Config” để tải về các tệp cấu hình mã hóa, sau đó giấu đoạn mã độc trong 4 hình ảnh PNG.
Khi được kẻ gian giải mã, các tệp này ghép lại thành một module có tên FatModule, phần mềm độc hại chuyên thu thập thông tin thiết bị và trình duyệt, sau đó điều hướng đến các tên miền gian lận do kẻ tấn công kiểm soát, tạo ra hơn 2 tỷ lượt hiển thị và nhấp chuột quảng cáo gian lận mỗi ngày.
FatModule được cài vào máy có thể tạo ra lượng truy cập khổng lồ, lên tới 2,3 tỷ lượt hiển thị quảng cáo gian lận mỗi ngày. Mỹ chiếm 30% lượng truy cập, tiếp theo là Ấn Độ (10%) và Brazil (7%). Cấu trúc hoạt động của SlopAds cũng rất phức tạp, với nhiều máy chủ chỉ huy và kiểm soát, cùng hơn 300 tên miền quảng cáo liên quan, cho thấy kẻ tấn công có khả năng mở rộng và tái triển khai bất kỳ lúc nào.
Trước tình hình này, Google đã nhanh chóng gỡ toàn bộ ứng dụng SlopAds ra khỏi Play Store và cập nhật Google Play Protect để cảnh báo người dùng. Tuy nhiên, các chuyên gia bảo mật cảnh báo nhóm đứng sau SlopAds có thể sẽ thay đổi cách thức để tiếp tục hoạt động trong tương lai.
Để bảo vệ thiết bị, người dùng được khuyến cáo nên kiểm tra lại toàn bộ ứng dụng đã cài đặt, gỡ bỏ những app không rõ nguồn gốc, bật Google Play Protect và luôn cập nhật hệ điều hành cùng ứng dụng thường xuyên. Ngoài ra, việc chú ý tới quyền truy cập ứng dụng cũng là cách hữu hiệu để giảm nguy cơ bị khai thác cho các mục đích gian lận.
Tham khảo BleepingComputer
Huỳnh Duy
