Trapdoor Ad Fraud
Изследователи по киберсигурност разкриха сложна операция за рекламни измами и злонамерена реклама, известна като Trapdoor, която е насочена специално към потребители на Android чрез мащабна мрежа от злонамерени приложения и контролирана от хакери инфраструктура. Кампанията включваше 455 злонамерени приложения за Android и 183 домейна с командване и контрол (C2), създавайки обширна екосистема, предназначена да поддържа многоетапни измами.
Операцията започва, когато потребителите несъзнателно инсталират контролирани от хакери приложения, обикновено маскирани като безобидни помощни инструменти, като например PDF четци, почистващи програми за телефони или приложения за оптимизация на устройства. Тези привидно легитимни приложения след това инициират кампании за злонамерена реклама, които принуждават жертвите да изтеглят допълнителен зловреден софтуер.
Съдържание
Многоетапната верига от инфекции води до скрити рекламни измами
Приложенията от вторичния етап служат като ядрото на измамната операция. След като бъдат инсталирани, те тихомълком стартират скрити WebViews, свързват се с управлявани от хакера HTML5 домейни и непрекъснато изискват реклами във фонов режим. Тези приложения са способни и на автоматизирани измами чрез докосване, генерирайки фалшиви рекламни взаимодействия без знанието на потребителя.
Ключова характеристика на Trapdoor е неговият самоподдържащ се бизнес модел. Една единствена инсталация на приложение, която изглежда легитимно, може да се превърне в непрекъснат цикъл на генериране на приходи, който финансира по-нататъшни кампании за злонамерена реклама. Изследователите също така наблюдаваха използването на инфраструктура за теглене на пари, базирана на HTML5, тактика, която преди това е била свързвана с клъстери от заплахи като SlopAds, Low5 и BADBOX 2.0.
В пика си инфраструктурата Trapdoor генерираше приблизително 659 милиона заявки за оферти на ден. Приложенията, свързани с операцията, натрупаха над 24 милиона изтегляния, като по-голямата част от трафика произхождаше от Съединените щати, което представляваше над три четвърти от активността на кампанията.
Селективното активиране помага за избягване на откриване
Нападателите, стоящи зад Trapdoor, са злоупотребили с инструменти за атрибуция на инсталиране – технологии, често използвани от легитимни маркетолози, за да проследяват как потребителите откриват приложения. Чрез манипулиране на тези системи, злонамерените лица са гарантирали, че злонамерената функционалност се активира само за потребители, придобити чрез контролирани от нападателите рекламни кампании.
Този механизъм за селективно активиране значително усложнява усилията за откриване. Потребителите, които са изтегляли приложенията директно от Google Play Store или са ги инсталирали чрез методи за странично зареждане, често не са се сблъсквали със злонамерено поведение. Вместо това, полезният товар се е активирал само след като жертвите са взаимодействали с подвеждащи реклами или фалшиви подкани за актуализация, предоставяни чрез кампанията.
Първоначалните помощни приложения показваха измамни изскачащи известия, предназначени да имитират известия за актуализации на софтуера, убеждавайки потребителите да инсталират втория етап на зловредния софтуер, отговорен за рекламните измами.
За да избегне допълнително анализ и проверка на сигурността, Trapdoor използва множество техники за анти-анализ и обфускация. Операцията често се е представяла за легитимни SDK и е смесвала злонамерени компоненти с иначе функционален софтуер, което е затруднило инфраструктурата за идентифициране от изследователите и автоматизираните системи за сигурност.
Google прекъсва операцията, но пейзажът от заплахи се развива
След отговорно разкриване от страна на изследователите, Google премахна идентифицираните злонамерени приложения от Google Play Store, като по този начин ефективно наруши инфраструктурата на кампанията.
Операцията „Trapdoor“ демонстрира как киберпрестъпниците продължават да използват като оръжие легитимни технологии, включително платформи за атрибуция и рекламни екосистеми, за да създават мащабируеми и устойчиви мрежи за измами. Чрез комбиниране на приложения с утилитарна тематика, скрити WebView-и, HTML5 домейни за теглене на пари и стратегии за селективно активиране, участниците зад кампанията създадоха силно адаптивна рамка, способна да поддържа както злонамерена реклама, така и мащабни рекламни измами.
Изследователите подчертаха, че операции като Trapdoor подчертават бързо развиващия се характер на мобилните заплахи, където измамниците все повече разчитат на скритост, поетапно доставяне на полезен товар и легитимен софтуер, за да заобиколят откриването и да поддържат дългосрочни канали за монетизация.
