Trapdoor Ad Fraud
Istraživači kibernetičke sigurnosti otkrili su sofisticiranu operaciju prijevare putem oglasa i zlonamjernog oglašavanja poznatu kao Trapdoor, koja cilja korisnike Androida putem velike mreže zlonamjernih aplikacija i infrastrukture koju kontroliraju napadači. Kampanja je uključivala 455 zlonamjernih Android aplikacija i 183 domene Command-and-Control (C2), stvarajući opsežan ekosustav osmišljen za podršku višefaznim aktivnostima prijevare.
Operacija započinje kada korisnici nesvjesno instaliraju aplikacije koje kontroliraju napadači, obično prikrivene kao bezopasni uslužni alati poput PDF čitača, programa za čišćenje telefona ili aplikacija za optimizaciju uređaja. Ove naizgled legitimne aplikacije zatim pokreću kampanje zlonamjernog oglašavanja koje vrše pritisak na žrtve da preuzmu dodatni zlonamjerni softver.
Sadržaj
Višestupanjski lanac infekcije potiče skrivene prijevare putem oglasa
Aplikacije sekundarne faze služe kao jezgra operacije prijevare. Nakon instalacije, one tiho pokreću skrivene WebView-ove, povezuju se s HTML5 domenama kojima upravljaju napadači i kontinuirano zahtijevaju oglase u pozadini. Ove aplikacije također su sposobne za automatiziranu prijevaru dodirom, generirajući lažne interakcije s oglasima bez znanja korisnika.
Ključna karakteristika Trapdoora je njegov samoodrživi poslovni model. Jedna instalacija aplikacije koja izgleda legitimno može se razviti u kontinuirani ciklus generiranja prihoda koji financira daljnje kampanje zlonamjernog oglašavanja. Istraživači su također primijetili korištenje infrastrukture za isplatu temeljene na HTML5, taktiku koja se prethodno povezivala s klasterima prijetnji kao što su SlopAds, Low5 i BADBOX 2.0.
U svom vrhuncu, Trapdoor infrastruktura generirala je otprilike 659 milijuna zahtjeva za ponudu dnevno. Aplikacije povezane s operacijom akumulirale su više od 24 milijuna preuzimanja, pri čemu je većina prometa potjecala iz Sjedinjenih Država, što je činilo više od tri četvrtine aktivnosti kampanje.
Selektivna aktivacija pomaže u izbjegavanju otkrivanja
Napadači koji stoje iza Trapdoora zloupotrijebili su alate za atribuciju instalacija, tehnologije koje obično koriste legitimni marketinški stručnjaci za praćenje načina na koji korisnici otkrivaju aplikacije. Manipulirajući tim sustavima, akteri prijetnji osigurali su da se zlonamjerne funkcionalnosti aktiviraju samo za korisnike stečene putem reklamnih kampanja koje kontroliraju napadači.
Ovaj mehanizam selektivne aktivacije značajno je komplicirao napore otkrivanja. Korisnici koji su preuzeli aplikacije izravno iz Trgovine Google Play ili ih instalirali putem metoda bočnog učitavanja često nisu nailazili na zlonamjerno ponašanje. Umjesto toga, korisni sadržaj se aktivirao tek nakon što su žrtve reagirale na obmanjujuće oglase ili lažne upite za ažuriranje isporučene putem kampanje.
Početne uslužne aplikacije prikazivale su lažne skočne obavijesti osmišljene da imitiraju upozorenja o ažuriranjima softvera, uvjeravajući korisnike da instaliraju zlonamjerni softver druge faze odgovoran za operacije prijevare s oglasima.
Kako bi dodatno izbjegao analizu i sigurnosnu provjeru, Trapdoor je koristio više tehnika protiv analize i zamagljivanja. Operacija je često predstavljala legitimne SDK-ove i miješala zlonamjerne komponente u inače funkcionalan softver, što je istraživačima i automatiziranim sigurnosnim sustavima otežavalo identifikaciju infrastrukture.
Google remeti operaciju, ali se krajolik prijetnji mijenja
Nakon odgovornog otkrivanja od strane istraživača, Google je uklonio identificirane zlonamjerne aplikacije iz Trgovine Google Play, čime je učinkovito poremećena infrastruktura kampanje.
Operacija Trapdoor pokazuje kako kibernetički kriminalci nastavljaju koristiti legitimne tehnologije kao oružje, uključujući platforme za atribuciju i oglašivačke ekosustave, kako bi stvorili skalabilne i otporne mreže za prijevare. Kombiniranjem aplikacija s uslužnom tematikom, skrivenih WebView-ova, HTML5 domena za isplatu i strategija selektivne aktivacije, akteri iza kampanje uspostavili su visoko prilagodljiv okvir sposoban podržati i zlonamjerno oglašavanje i velike oglasne prijevare.
Istraživači su naglasili da operacije poput Trapdoora ističu brzo razvijajuću prirodu mobilnih prijetnji, gdje se prevaranti sve više oslanjaju na prikrivenost, postupnu dostavu korisnog tereta i softver koji izgleda legitimno kako bi zaobišli otkrivanje i održali dugoročne kanale monetizacije.
