Trapdoor-mainospetos
Kyberturvallisuustutkijat ovat paljastaneet hienostuneen Trapdoor-nimisen mainoshuijaus- ja haittamarkkinointioperaation, joka kohdistaa hyökkäyksensä erityisesti Android-käyttäjiin laajan haitallisten sovellusten verkoston ja hyökkääjien hallitseman infrastruktuurin kautta. Kampanjaan osallistui 455 haitallista Android-sovellusta ja 183 komento- ja hallinta-aluetta (C2), mikä loi laajan ekosysteemin, joka on suunniteltu tukemaan monivaiheista petostoimintaa.
Operaatio alkaa, kun käyttäjät tietämättään asentavat hyökkääjän hallitsemia sovelluksia, jotka ovat usein naamioituneet harmittomiksi apuohjelmiksi, kuten PDF-lukuohjelmiksi, puhelimen puhdistusohjelmiksi tai laitteen optimointisovelluksiksi. Nämä näennäisesti lailliset sovellukset käynnistävät sitten haittaohjelmakampanjoita, jotka painostavat uhreja lataamaan lisää haittaohjelmia.
Sisällysluettelo
Monivaiheinen tartuntaketju ajaa piilotettuja mainospetoksia
Toissijaisen vaiheen sovellukset toimivat petosoperaation ytimessä. Asennuksen jälkeen ne käynnistävät huomaamattomasti piilotettuja WebView-näkymiä, yhdistävät hyökkääjien ylläpitämiin HTML5-verkkotunnuksiin ja pyytävät jatkuvasti mainoksia taustalla. Nämä sovellukset pystyvät myös automatisoituun kosketuspetoksiin, jotka luovat tekaistuja mainostoimintoja käyttäjän tietämättä.
Trapdoorin keskeinen ominaisuus on sen omavarainen liiketoimintamalli. Yksittäinen laillisen näköinen sovellusasennus voi kehittyä jatkuvaksi tuloja tuottavaksi sykliksi, joka rahoittaa lisää haittamainontakampanjoita. Tutkijat havaitsivat myös HTML5-pohjaisen kotiutusinfrastruktuurin käyttöä, taktiikkaa, joka aiemmin yhdistettiin uhkaryppäisiin, kuten SlopAdsiin, Low5:een ja BADBOX 2.0:aan.
Huippuvaiheessa Trapdoor-infrastruktuuri tuotti noin 659 miljoonaa tarjouspyyntöä päivässä. Operaatioon kytketyt sovellukset keräsivät yli 24 miljoonaa latausta, joista suurin osa tuli Yhdysvalloista ja kattoi yli kolme neljäsosaa kampanjan toiminnasta.
Valikoiva aktivointi auttaa välttämään havaitsemisen
Trapdoorin takana olevat hyökkääjät väärinkäyttivät asennusten attribuutiotyökaluja, tekniikoita, joita lailliset markkinoijat yleisesti käyttävät seuratakseen, miten käyttäjät löytävät sovelluksia. Näitä järjestelmiä manipuloimalla uhkatoimijat varmistivat, että haitalliset toiminnot aktivoituivat vain käyttäjille, jotka oli hankittu hyökkääjien hallitsemien mainoskampanjoiden kautta.
Tämä valikoiva aktivointimekanismi vaikeutti merkittävästi havaitsemistoimia. Käyttäjät, jotka latasivat sovellukset suoraan Google Play Kaupasta tai asensivat ne sivulatausmenetelmien kautta, eivät usein kohdanneet haitallista toimintaa. Sen sijaan hyötykuorma aktivoitui vasta sen jälkeen, kun uhrit olivat vuorovaikutuksessa kampanjan kautta toimitettujen harhaanjohtavien mainosten tai väärennettyjen päivityskehotteiden kanssa.
Alkuperäiset apuohjelmat näyttivät petollisia ponnahdusikkunoita, jotka oli suunniteltu jäljittelemään ohjelmistopäivityshälytyksiä ja suostuttelemaan käyttäjät asentamaan toisen vaiheen haittaohjelman, joka oli vastuussa mainospetoksista.
Välttääkseen analysointia ja tietoturvatarkastelua entisestään Trapdoor käytti useita analyysinvastaisia ja hämärtämistekniikoita. Operaatio imitoi usein laillisia SDK:ita ja yhdisti haitallisia komponentteja muuten toimivaan ohjelmistoon, mikä vaikeutti infrastruktuurin tunnistamista tutkijoiden ja automatisoitujen turvajärjestelmien kannalta.
Google keskeyttää toiminnan, mutta uhkakuva muuttuu
Tutkijoiden vastuullisen paljastuksen jälkeen Google poisti tunnistetut haitalliset sovellukset Google Play Kaupasta, mikä tehokkaasti häiritsi kampanjan infrastruktuuria.
Trapdoor-operaatio osoittaa, kuinka kyberrikolliset jatkavat laillisten teknologioiden, kuten attribuutioalustojen ja mainosekosysteemien, aseistamista luodakseen skaalautuvia ja kestäviä petosverkostoja. Yhdistämällä hyödyllisyysteemaisia sovelluksia, piilotettuja WebView'ita, HTML5-kotiutusverkkotunnuksia ja valikoivia aktivointistrategioita kampanjan takana olevat toimijat loivat erittäin mukautuvan kehyksen, joka pystyy tukemaan sekä haitallista mainontaa että laajamittaista mainospetosta.
Tutkijat korostivat, että Trapdoorin kaltaiset operaatiot korostavat mobiiliuhkien nopeasti kehittyvää luonnetta, jossa huijarit luottavat yhä enemmän piilotukseen, porrastettuun hyötykuormien toimitukseen ja laillisen näköisiin ohjelmistoihin ohittaakseen havaitsemisen ja ylläpitääkseen pitkän aikavälin ansaintaputkia.
