Trapdoor Ad Fraud
साइबर सुरक्षा शोधकर्ताओं ने ट्रैपडोर नामक एक परिष्कृत विज्ञापन धोखाधड़ी और मैलवेयर विज्ञापन अभियान का पर्दाफाश किया है, जो दुर्भावनापूर्ण अनुप्रयोगों के एक व्यापक नेटवर्क और हमलावर-नियंत्रित बुनियादी ढांचे के माध्यम से विशेष रूप से एंड्रॉइड उपयोगकर्ताओं को निशाना बनाता है। इस अभियान में 455 दुर्भावनापूर्ण एंड्रॉइड ऐप और 183 कमांड-एंड-कंट्रोल (C2) डोमेन शामिल थे, जिन्होंने बहु-स्तरीय धोखाधड़ी गतिविधियों का समर्थन करने के लिए डिज़ाइन किया गया एक व्यापक पारिस्थितिकी तंत्र बनाया।
यह प्रक्रिया तब शुरू होती है जब उपयोगकर्ता अनजाने में हमलावरों द्वारा नियंत्रित एप्लिकेशन इंस्टॉल कर लेते हैं, जो आमतौर पर पीडीएफ रीडर, फोन क्लीनर या डिवाइस ऑप्टिमाइज़ेशन ऐप जैसे हानिरहित उपयोगिता उपकरणों के रूप में छिपे होते हैं। ये दिखने में वैध एप्लिकेशन फिर मैलवेयर विज्ञापन अभियान शुरू करते हैं जो पीड़ितों पर अतिरिक्त दुर्भावनापूर्ण सॉफ़्टवेयर डाउनलोड करने का दबाव डालते हैं।
विषयसूची
बहु-चरणीय संक्रमण श्रृंखला छिपे हुए विज्ञापन धोखाधड़ी को बढ़ावा देती है
द्वितीयक चरण के एप्लिकेशन धोखाधड़ी अभियान का मुख्य आधार हैं। एक बार इंस्टॉल होने के बाद, ये चुपचाप छिपे हुए वेबव्यू लॉन्च करते हैं, हमलावर द्वारा संचालित HTML5 डोमेन से जुड़ते हैं और पृष्ठभूमि में लगातार विज्ञापन अनुरोध करते रहते हैं। ये ऐप्स स्वचालित टच फ्रॉड करने में भी सक्षम हैं, जो उपयोगकर्ता की जानकारी के बिना नकली विज्ञापन इंटरैक्शन उत्पन्न करते हैं।
ट्रैपडोर की एक प्रमुख विशेषता इसका आत्मनिर्भर व्यापार मॉडल है। एक वैध दिखने वाले ऐप की स्थापना एक निरंतर राजस्व-उत्पादक चक्र में परिवर्तित हो सकती है जो आगे के मैलवेयर विज्ञापन अभियानों को वित्तपोषित करती है। शोधकर्ताओं ने HTML5-आधारित कैशआउट इंफ्रास्ट्रक्चर के उपयोग को भी देखा, एक ऐसी रणनीति जो पहले स्लोपऐड्स, लो5 और बैडबॉक्स 2.0 जैसे खतरे समूहों से जुड़ी थी।
अपने चरम पर, ट्रैपडोर इंफ्रास्ट्रक्चर ने प्रतिदिन लगभग 659 मिलियन बोली अनुरोध उत्पन्न किए। इस अभियान से जुड़े एप्लिकेशनों को 24 मिलियन से अधिक बार डाउनलोड किया गया, जिसमें अधिकांश ट्रैफ़िक संयुक्त राज्य अमेरिका से आया, जो अभियान की गतिविधि के तीन-चौथाई से अधिक के लिए जिम्मेदार था।
चयनात्मक सक्रियण से पता लगने से बचने में मदद मिलती है
ट्रैपडोर के हमलावरों ने इंस्टॉल एट्रिब्यूशन टूल्स का दुरुपयोग किया, जो कि वैध विपणनकर्ताओं द्वारा उपयोगकर्ताओं द्वारा एप्लिकेशन खोजने के तरीके को ट्रैक करने के लिए आमतौर पर उपयोग की जाने वाली तकनीकें हैं। इन प्रणालियों में हेरफेर करके, हमलावरों ने यह सुनिश्चित किया कि दुर्भावनापूर्ण कार्यक्षमता केवल हमलावरों द्वारा नियंत्रित विज्ञापन अभियानों के माध्यम से प्राप्त उपयोगकर्ताओं के लिए ही सक्रिय हो।
इस चयनात्मक सक्रियण तंत्र ने पहचान प्रयासों को काफी जटिल बना दिया। जिन उपयोगकर्ताओं ने सीधे Google Play Store से एप्लिकेशन डाउनलोड किए या साइडलोडिंग विधियों के माध्यम से उन्हें इंस्टॉल किया, उन्हें अक्सर दुर्भावनापूर्ण गतिविधि का सामना नहीं करना पड़ा। इसके बजाय, पेलोड तभी सक्रिय हुआ जब पीड़ितों ने अभियान के माध्यम से दिए गए भ्रामक विज्ञापनों या नकली अपडेट प्रॉम्प्ट के साथ बातचीत की।
प्रारंभिक उपयोगिता अनुप्रयोगों ने सॉफ्टवेयर अपडेट अलर्ट की नकल करने के लिए डिज़ाइन किए गए धोखाधड़ी वाले पॉप-अप नोटिफिकेशन प्रदर्शित किए, जिससे उपयोगकर्ताओं को विज्ञापन धोखाधड़ी संचालन के लिए जिम्मेदार दूसरे चरण के मैलवेयर को स्थापित करने के लिए राजी किया गया।
विश्लेषण और सुरक्षा जांच से बचने के लिए, ट्रैपडोर ने कई विश्लेषण-विरोधी और अस्पष्टीकरण तकनीकों का इस्तेमाल किया। यह ऑपरेशन अक्सर वैध एसडीके का रूप धारण करता था और अन्यथा कार्यात्मक सॉफ़्टवेयर में दुर्भावनापूर्ण घटकों को मिला देता था, जिससे शोधकर्ताओं और स्वचालित सुरक्षा प्रणालियों के लिए बुनियादी ढांचे की पहचान करना अधिक कठिन हो जाता था।
गूगल ने ऑपरेशन को बाधित किया लेकिन खतरे का परिदृश्य बदलता रहा।
शोधकर्ताओं द्वारा जिम्मेदारीपूर्ण तरीके से जानकारी साझा करने के बाद, Google ने Google Play Store से पहचाने गए दुर्भावनापूर्ण एप्लिकेशन को हटा दिया, जिससे अभियान के बुनियादी ढांचे को प्रभावी ढंग से बाधित कर दिया गया।
ट्रैपडोर ऑपरेशन से पता चलता है कि साइबर अपराधी किस प्रकार वैध तकनीकों, जिनमें एट्रिब्यूशन प्लेटफॉर्म और विज्ञापन इकोसिस्टम शामिल हैं, का दुरुपयोग करके बड़े पैमाने पर और मजबूत धोखाधड़ी नेटवर्क बना रहे हैं। यूटिलिटी-थीम वाले ऐप्स, छिपे हुए वेबव्यू, HTML5 कैशआउट डोमेन और चुनिंदा एक्टिवेशन रणनीतियों को मिलाकर, इस अभियान के पीछे के अपराधियों ने एक ऐसा अनुकूलनीय ढांचा तैयार किया जो मैलवेयर विज्ञापन और बड़े पैमाने पर विज्ञापन धोखाधड़ी दोनों को अंजाम देने में सक्षम है।
शोधकर्ताओं ने इस बात पर जोर दिया कि ट्रैपडोर जैसे ऑपरेशन मोबाइल खतरों की तेजी से विकसित हो रही प्रकृति को उजागर करते हैं, जहां धोखेबाज तेजी से गुप्तता, सुनियोजित पेलोड डिलीवरी और वैध दिखने वाले सॉफ़्टवेयर पर निर्भर करते हैं ताकि पता लगाने से बच सकें और दीर्घकालिक मुद्रीकरण पाइपलाइन बनाए रख सकें।
