黑客假借提供应用程序，在用户不知情的情况下，暗中进行广告点击活动，向广告服务商骗取点击费用的攻击手法，过去安全厂商已揭露多起，这些事件多半针对Windows电脑而来，但近期有一波安全事件，是锁定安卓设备，引起研究人员的关注。

安全厂商Human揭露名为SlopAds的广告欺诈及点击欺诈活动，黑客在Google Play商店上架多达224款应用程序，这些App已被下载超过3800万次，用户遍布全球228个国家和地区。黑客通过应用程序作为传送作案工具的渠道，并搭配隐写术（Steganography）手法，借助PNG图像文件将欺诈载荷传送到受害的安卓设备。接着，他们建立隐藏的WebView窗口，访问攻击者控制的网站以牟利。在攻击行动达到高峰时期，单日产生23亿次广告播放请求，流量主要来自美国、印度、巴西，分别占整体的30%、10%、7%。

值得注意的是，这波攻击行动与过往最大的不同之处，在于黑客会根据应用程序的安装来源，决定是否启动广告欺诈行为，条件是：只有通过广告点击下载应用程序的用户，攻击者才会执行后续活动，这种运用市场营销相关技术判定下一阶段目标的手法，相当罕见。值得一提的是，针对SlopAds中黑客通过访问自有的HTML5游戏网站、新闻网站获利的行为，Human指出其与半年前发现的僵尸网络BadBox 2.0手法非常相似。

一般而言，黑客管控应用程序的方式，主要是通过多个C2服务器进行，但Human在分析攻击行动架构时特别提到，此次黑客所使用的域名，是专门用于营销的域名，而且，黑客似乎有意扩大SlopAds的规模，并不断试图在Google Play商店上架新的App。

一旦用户下载并安装黑客提供的应用程序，他们的移动设备就会利用名为Firebase Remote Config的工具，接收经过加密处理的一组URL配置，其中一个网址可用于下载广告欺诈模块FatModule，另一个网址可下载由JavaScript编写的有效载荷，用于实施点击欺诈。

随后，系统会进行一系列检查，将用户区分为直接从Google Play下载，以及通过特定广告跳转至商店的用户，具体方法是借助移动设备营销平台实现，通过检测流量中是否存在特定标签来判断。如果是通过广告渠道进入，黑客才会执行后续操作，从C2服务器下载前述的FatModule。