Trapdoor Ad Fraud
Küberturvalisuse uurijad on paljastanud keeruka reklaamipettuse ja pahatahtliku reklaami operatsiooni nimega Trapdoor, mis on suunatud spetsiaalselt Androidi kasutajatele ulatusliku pahatahtlike rakenduste võrgustiku ja ründajate kontrollitava infrastruktuuri kaudu. Kampaania hõlmas 455 pahatahtlikku Androidi rakendust ja 183 juhtimis- ja kontrollidomeeni (C2), luues ulatusliku ökosüsteemi, mis on loodud mitmeastmelise pettusetegevuse toetamiseks.
See operatsioon algab siis, kui kasutajad installivad teadmatult ründaja kontrolli all olevaid rakendusi, mis on tavaliselt maskeeritud kahjututeks tööriistadeks, näiteks PDF-lugerid, telefoni puhastusprogrammid või seadme optimeerimise rakendused. Need pealtnäha õigustatud rakendused käivitavad seejärel pahatahtliku reklaami kampaaniad, mis survestavad ohvreid alla laadima täiendavat pahavara.
Sisukord
Mitmeastmeline nakkusahel soodustab varjatud reklaamipettusi
Teisese etapi rakendused on pettuseoperatsiooni keskmes. Pärast installimist käivitavad nad vaikselt peidetud WebView'sid, loovad ühenduse ründaja hallatavate HTML5-domeenidega ja taotlevad taustal pidevalt reklaame. Need rakendused on võimelised ka automatiseerima puutepettusi, genereerides võltsreklaamide interaktsioone ilma kasutaja teadmata.
Trapdoori peamine omadus on selle isemajandav ärimudel. Ühest legitiimse välimusega rakenduse installist võib areneda pidev tulu teeniv tsükkel, mis rahastab edasisi pahavarakampaaniaid. Teadlased täheldasid ka HTML5-põhise väljamakse infrastruktuuri kasutamist – taktikat, mida varem seostati selliste ohuklastritega nagu SlopAds, Low5 ja BADBOX 2.0.
Tipphetkel genereeris Trapdoori infrastruktuur ligikaudu 659 miljonit pakkumistaotlust päevas. Operatsiooniga seotud rakendused kogusid üle 24 miljoni allalaadimise, kusjuures suurem osa liiklusest pärines Ameerika Ühendriikidest, moodustades üle kolmeveerandi kampaania tegevusest.
Selektiivne aktiveerimine aitab vältida avastamist
Trapdoori taga olevad ründajad kuritarvitasid installimise omistamise tööriistu – tehnoloogiaid, mida seaduslikud turundajad tavaliselt kasutavad kasutajate rakenduste leidmise jälgimiseks. Neid süsteeme manipuleerides tagasid ründajad, et pahatahtlik funktsionaalsus aktiveerub ainult ründajate kontrollitud reklaamikampaaniate kaudu omandatud kasutajate jaoks.
See valikuline aktiveerimismehhanism raskendas tuvastamist märkimisväärselt. Kasutajad, kes laadisid rakendused otse Google Play poest alla või installisid need külglaadimise meetodite abil, ei kohanud sageli pahatahtlikku käitumist. Selle asemel aktiveeriti kasulik koormus alles pärast seda, kui ohvrid suhtlesid kampaania kaudu edastatud petlike reklaamide või võltsitud värskendusteadetega.
Esialgsed utiliidirakendused kuvasid petturlikke hüpikaknaid, mis olid loodud tarkvarauuenduste märguannete imiteerimiseks, veendes kasutajaid installima reklaamipettuste eest vastutavat teise etapi pahavara.
Analüüsi ja turvakontrolli edasiseks vältimiseks kasutas Trapdoor mitmeid analüüsivastaseid ja hägustamise tehnikaid. Operatsioon imiteeris sageli legitiimseid SDK-sid ja segas pahatahtlikke komponente muidu toimivasse tarkvarasse, muutes infrastruktuuri teadlaste ja automatiseeritud turvasüsteemide jaoks raskemaks tuvastada.
Google katkestab operatsiooni, kuid ohumaastik areneb
Pärast teadlaste vastutustundlikku avalikustamist eemaldas Google tuvastatud pahatahtlikud rakendused Google Play poest, häirides sellega sisuliselt kampaania infrastruktuuri.
Trapdoori operatsioon näitab, kuidas küberkurjategijad jätkavad legitiimsete tehnoloogiate, sealhulgas omistamisplatvormide ja reklaamiökosüsteemide relvana kasutamist, et luua skaleeritavaid ja vastupidavaid petuvõrgustikke. Kombineerides utiliitidega seotud rakendusi, peidetud WebView'sid, HTML5 väljamaksedomeene ja valikulisi aktiveerimisstrateegiaid, lõid kampaania taga olevad osalised väga adaptiivse raamistiku, mis on võimeline toetama nii pahatahtlikku reklaamimist kui ka ulatuslikku reklaamipettust.
Teadlased rõhutasid, et sellised operatsioonid nagu Trapdoor toovad esile mobiilsete ohtude kiiresti areneva olemuse, kus petised toetuvad üha enam varjatustele, etapiviisilisele kasuliku koormuse edastamisele ja legitiimse välimusega tarkvarale, et avastamist vältida ja pikaajalisi monetiseerimiskanaleid säilitada.
