大规模Android广告欺诈团伙“SlopAds”被瓦解：利用224款恶意应用日均发起23亿次广告请求

一个名为“SlopAds”的大规模Android广告欺诈团伙已被瓦解。此前，该团伙通过Google Play商店中的224款恶意应用，日均发起23亿次广告请求。

这一广告欺诈活动由HUMAN公司的Satori威胁情报团队发现。据报告，这些恶意应用的下载量超过3800万次，且通过代码混淆和隐写术隐藏恶意行为，规避谷歌的检测与安全工具的扫描。

SlopAds的影响范围覆盖全球，来自228个国家的用户曾安装过相关应用。该团伙日均发起23亿次广告竞价请求，其中广告曝光量最高的地区为美国（占比30%），其次是印度（10%）和巴西（7%）。 

研究人员将该活动命名为“SlopAds”，一方面是因为相关恶意应用表面看似批量生成，类似AI粗制内容；另一方面，也是参考了威胁者命令与控制（C2）服务器上托管的一系列AI主题应用及服务。

与SlopAds广告欺诈活动相关的Android应用程序

SlopAds广告欺诈活动的技术细节

为规避谷歌的应用审核流程与安全软件检测，SlopAds的广告欺诈机制包含多层逃避策略，具体攻击流程如下：

1. 根据安装来源判断行为模式：若用户从Play商店“自然安装”该应用（非通过团伙投放的广告跳转），应用会伪装成正常应用，执行其宣称的功能（如工具类、娱乐类功能）；

SlopAds 广告欺诈恶意软件工作流程

但如果检测到用户是通过点击团伙投放的广告安装应用，就会通过Firebase远程配置下载一个加密配置文件——该文件包含广告欺诈恶意模块的URL、提现服务器地址及JavaScript载荷。

2. 设备环境验证：应用会进一步判断自身是否安装在“真实用户设备”上，以避开研究人员或安全软件的分析环境。

3. 通过隐写术加载恶意模块：若通过上述所有检测，应用会下载4张PNG图片——这些图片通过隐写术隐藏了恶意APK（安卓应用安装包）的碎片。

使用隐写术将恶意代码隐藏在图像中

图片下载完成后，设备会对其解密并重组，生成完整的“FatModule”恶意软件，该软件是实施广告欺诈的核心组件。

4. 发起广告欺诈并获利：FatModule激活后，会通过隐藏的WebView（网页视图）收集设备与浏览器信息，随后跳转到攻击者控制的广告欺诈（提现）域名。

这些域名伪装成游戏网站或新闻网站，通过隐藏的WebView界面持续加载广告，日均生成超20亿次欺诈性广告曝光与点击，为攻击者创造非法收益。

后续处置与风险预警

HUMAN指出，SlopAds的基础设施包含多个C2服务器及300多个相关推广域名，这表明威胁者原本计划在已发现的224款应用之外，进一步扩大攻击范围。 

目前，谷歌已从Play商店下架所有已确认的SlopAds恶意应用，且Android系统的“Google Play Protect”功能已完成更新——若用户设备中仍存在此类应用，该功能会发出警告，提示用户卸载。

根据此次广告欺诈活动的技术复杂度表明，威胁者很可能会调整攻击方案在未来发起新的欺诈活动，用户应随时保持警惕态度。