Miljontals nedladdningar av skadliga Android-appar avslöjade

av Mikael Winterkvist | sep 17, 2025 | Bluesky, Mastodon, Säkerhet, Threads

En massiv annonsbedrägerikampanj för Android, kallad SlopAds, har stoppats sedan det upptäckts att 224 skadliga appar på Google Play genererade 2,3 miljarder annonsförfrågningar per dag.

Kampanjen avslöjades av HUMAN:s Satori Threat Intelligence-team, som rapporterar att apparna laddades ner mer än 38 miljoner gånger. För att dölja sitt beteende från Google och säkerhetsverktyg använde de både obfuskering och steganografi.

Bedrägeriet hade global spridning, med installationer från 228 olika länder. Den största mängden falska annonsvisningar kom från USA (30 procent), följt av Indien (10 procent) och Brasilien (7 procent).

Massproducerade

Forskarna gav operationen namnet SlopAds eftersom apparna verkade massproducerade, på samma sätt som ”AI-slop”, och för att hotaktörernas servrar innehöll flera AI-relaterade applikationer och tjänster.

Annonsbedrägeriet byggde på flera olika metoder för att undvika upptäckt i Googles granskningsprocess och i säkerhetsprogram.

En användare som laddade ner en app direkt via Play Store, utan att ha klickat på någon av kampanjens annonser, fick en app som fungerade normalt med den utlovade funktionen. Vid installation efter klick på en av kampanjens annonser laddade appen ner en krypterad konfigurationsfil via Firebase Remote Config. Den filen innehöll adresser till både den skadliga annonsmodulen, betalningsservrar och en JavaScript-kod.

Appen kontrollerade om den kördes på en riktig användares enhet eller om den analyserades av forskare eller säkerhetsprogram. Efter genomförda kontroller laddade appen ner fyra PNG-bilder som med hjälp av steganografi dolde delar av ett skadligt APK-paket. Bilderna dekrypterades och sattes ihop på enheten till en komplett modul med namnet FatModule.

Samla in information

När FatModule aktiverades användes dolda WebViews för att samla in information om enhet och webbläsare. Modulen navigerade därefter till annonsdomäner som kontrollerades av angriparna. Domänerna låtsades vara spel- eller nyhetssajter och serverade annonser i dolda webbfönster för att generera mer än två miljarder falska annonsvisningar och klick varje dag, vilket gav intäkter till de som låg bakom attacken.

Enligt HUMAN omfattade kampanjens infrastruktur många kommandoservrar och över 300 relaterade domäner. Uppgifterna tyder på att hotaktörerna planerade att expandera bortom de 224 identifierade apparna.

Google har tagit bort alla kända SlopAds-appar från Play Store. Androids Google Play Protect har uppdaterats för att varna användare som fortfarande har någon av apparna installerad.

HUMAN varnar för att den avancerade metoden tyder på att de ansvariga sannolikt kommer att anpassa sin attack och försöka igen i framtiden.

Källa:
Bleeping Computer

Läs mer

Dags att tala om elefanten i rummet – Googles snokande och bristande säkerhet

Säkerhet på Apples vis – trygg borg eller låst bur?

Magasin Macken använder AI för att samla in information och underlag för de texter som publiceras. Vi använder även AI för att skapa bilder och illustrationer. Dessa märks alltid med att det är AI-bilder om bilderna är fotorealistiska. I förekommande fall så läggs även till länkar till källa och referenser till i texterna som alltid kontrolleras av en mänsklig skribent – som är den som skriver och redigerar alla texter till alla väsentliga delar.

Prenumerera

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.

0 Comments

Nyaste

Äldsta Mest röstade

Inline Feedbacks

Se alla kommentarer

Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen:

Apple lyfter Mac till ny nivå med macOS Tahoe – här är tio nya funktioner du inte får missa

Apple tar nästa steg för Mac med macOS Tahoe, en uppdatering som markerar den största visuella förändringen på många år. Det nya Liquid Glass ger menyer, knappar och widgets ett glansigt och genomskinligt utseende som speglar omgivningen. Samtidigt blir systemet…

läs mer

Se upp med nätfiske med falska brev från Paypal

Just nu sprids ett stort antal falska mail som påstår att Paypal har registrerat misstänkt aktivitet på användarens, mottagarens, konto. Brevet är falskt, vilket snabbt kan konstateras: Avsändaren är inte PayPal Knappen i brevet, länken går inte till Paypal: Kasta…

läs mer

Här har du Mackens Nyheter det senaste dygnet (17 september 2025)

Här har du Mackens Nyheter det senaste dygnet (17 september 2025) Algoritmen stannar i Kina – så kan USA få en egen version av TikTok TikTok kommer inte att stängas ned idag, onsdag. President Donald Trump närmar sig i stället…

läs mer

« Äldre inlägg