شبكة SlopAds الاحتيالية تستغل 224 تطبيق أندرويد لتحقيق 2.3 مليار عرض إعلاني يوميًا

المايسترو نيرو - قسم احتيال الإعلانات / أمن الجوال

كشفت شركة HUMAN عن عملية ضخمة للاحتيال بالإعلانات والنقرات، أُطلق عليها اسم "SlopAds"، والتي تشغّل مجموعة من 224 تطبيقًا جمعت معًا ما يقارب 38 مليون تنزيل عبر 228 دولة ومنطقة.

"تُسلم هذه التطبيقات حمولة الاحتيال باستخدام تقنية التمويه (Steganography)، وتُنشئ نوافذ ويب مخفية للانتقال إلى مواقع يستخدمها القراصنة لكسب المال، مما يولد انطباعات وإشارات احتيالية على الإعلانات،" قالت فرقة بحث وتحليل التهديدات Satori في HUMAN في تقرير شاركته مع The Hacker News.

يُعتقد أن اسم "SlopAds" يشير إلى الطبيعة المنتجة بكمية كبيرة من التطبيقات، واستخدام خدمات مرتبطة بالذكاء الاصطناعي مثل StableDiffusion وAIGuide وChatGLM التي يستضيفها المهاجمون على خوادم الأوامر والتحكم (C2).

ذكرت الشركة أن الحملة حققت ذروتها عند 2.3 مليار طلب عرض إعلاني يوميًا، حيث نشأت معظم حركة المرور من الولايات المتحدة (30%)، والهند (10%)، والبرازيل (7%). وقد قامت Google منذ ذلك الحين بإزالة جميع التطبيقات المسيئة من متجر Play، مما أدى إلى تعطيل التهديد بشكل فعّال.

ما يميز هذه العملية هو أنه عند تنزيل أحد التطبيقات المرتبطة بـ SlopAds، فإنه يقوم باستعلام SDK خاص بنسب التسويق المتنقل لمعرفة ما إذا تم التنزيل مباشرة من متجر Play (أي تنزيل عضوي) أو نتيجة النقر على إعلان أعاد التوجيه إلى صفحة التطبيق (أي غير عضوي).

يبدأ السلوك الاحتيالي فقط في الحالات التي يتم فيها تنزيل التطبيق بعد النقر على إعلان، مما يؤدي إلى تنزيل وحدة الاحتيال (FatModule) من خادم C2. أما إذا تم التثبيت العضوي، فإن التطبيق يتصرف كما هو معلن عليه في صفحة المتجر.

"من تطوير ونشر تطبيقات ترتكب الاحتيال فقط في ظروف معينة، إلى إضافة طبقات فوق طبقات من التمويه، فإن SlopAds تؤكد أن التهديدات الموجهة لنظام الإعلان الرقمي أصبحت أكثر تطورًا باستمرار،" قالت الباحثة في HUMAN. "تخلق هذه التكتيك حلقة تغذية راجعة كاملة للمهاجمين، بحيث يُشغل الاحتيال فقط إذا اعتقدوا أن الجهاز لا يخضع لفحص الباحثين الأمنيين. ويُدمج هذا حركة المرور الخبيثة مع بيانات الحملة الشرعية، مما يعقّد عملية الكشف."

يتم تسليم وحدة FatModule من خلال أربع ملفات صور PNG تخفي ملف APK، والذي يتم فك تشفيره وتجميعه لإعادة تشكيله، ثم يقوم بتجميع معلومات حول الجهاز والمتصفح، بالإضافة إلى تنفيذ احتيال الإعلانات باستخدام نوافذ ويب مخفية.

قال باحثو HUMAN: "إحدى آليات تحقيق الأرباح لـ SlopAds هي من خلال مواقع ألعاب HTML5 (H5) وأخبار يمتلكها المهاجمون. تعرض هذه المواقع الألعاب إعلانات بشكل متكرر، وبما أن نافذة الويب التي يتم تحميل المواقع فيها تكون مخفية، يمكن للمواقع تحقيق عائدات من عدد كبير من انطباعات الإعلانات والإشارات قبل إغلاق النافذة."

وقد وُجد أن النطاقات التي تروج لتطبيقات SlopAds ترتبط بدورها بنطاق آخر هو ad2[.]cc، الذي يعمل كخادم C2 من المستوى الثاني. وتم تحديد ما يقدر بنحو 300 نطاق تروج لهذه التطبيقات.

تأتي هذه التطورات بعد أقل من شهرين من تحذير HUMAN من مجموعة أخرى من 352 تطبيق أندرويد كانت جزءًا من مخطط احتيال إعلاني أُطلق عليه اسم IconAds.

قال غافين ريد، رئيس أمن المعلومات في HUMAN: "تُبرز SlopAds التطور المستمر في تكنولوجيا احتيال الإعلانات على الهواتف المحمولة، بما في ذلك التنفيذ السري والمشروط للاحتيال وقدرات التوسع السريع."

آخر تحديث: 7 أكتوبر 2025