Trapdoor Ad Fraud
Alcuni ricercatori nel campo della sicurezza informatica hanno scoperto una sofisticata operazione di frode pubblicitaria e malvertising nota come Trapdoor, che prende di mira specificamente gli utenti Android attraverso una vasta rete di applicazioni dannose e infrastrutture controllate dagli aggressori. La campagna ha coinvolto 455 app Android dannose e 183 domini di comando e controllo (C2), creando un esteso ecosistema progettato per supportare attività fraudolente a più fasi.
L'operazione inizia quando gli utenti installano inconsapevolmente applicazioni controllate dagli aggressori, spesso camuffate da innocui strumenti di utilità come lettori PDF, programmi per la pulizia del telefono o app per l'ottimizzazione del dispositivo. Queste applicazioni apparentemente legittime avviano quindi campagne di malvertising che spingono le vittime a scaricare ulteriore software dannoso.
Sommario
Una catena di infezione a più fasi alimenta le frodi pubblicitarie nascoste.
Le applicazioni di secondo livello costituiscono il nucleo dell'operazione fraudolenta. Una volta installate, avviano silenziosamente WebView nascoste, si connettono a domini HTML5 gestiti dagli aggressori e richiedono continuamente annunci pubblicitari in background. Queste app sono anche in grado di automatizzare frodi touch, generando false interazioni pubblicitarie all'insaputa dell'utente.
Una caratteristica fondamentale di Trapdoor è il suo modello di business autosostenibile. Una singola installazione di un'app dall'aspetto legittimo può evolversi in un ciclo continuo di generazione di entrate che finanzia ulteriori campagne di malvertising. I ricercatori hanno anche osservato l'utilizzo di un'infrastruttura di prelievo di denaro basata su HTML5, una tattica precedentemente associata a gruppi di minacce come SlopAds, Low5 e BADBOX 2.0.
Al suo apice, l'infrastruttura Trapdoor ha generato circa 659 milioni di richieste di offerta al giorno. Le applicazioni connesse all'operazione hanno accumulato oltre 24 milioni di download, con la maggior parte del traffico proveniente dagli Stati Uniti, pari a oltre tre quarti dell'attività della campagna.
L’attivazione selettiva aiuta a eludere il rilevamento
Gli autori di Trapdoor hanno abusato degli strumenti di attribuzione delle installazioni, tecnologie comunemente utilizzate da operatori di marketing legittimi per tracciare il modo in cui gli utenti scoprono le applicazioni. Manipolando questi sistemi, i malintenzionati si sono assicurati che le funzionalità dannose si attivassero solo per gli utenti acquisiti tramite campagne pubblicitarie controllate dagli stessi hacker.
Questo meccanismo di attivazione selettiva ha complicato notevolmente le operazioni di rilevamento. Gli utenti che hanno scaricato le applicazioni direttamente dal Google Play Store o le hanno installate tramite sideloading spesso non hanno riscontrato alcun comportamento dannoso. Il payload si attivava invece solo dopo che le vittime interagivano con annunci ingannevoli o falsi avvisi di aggiornamento diffusi tramite la campagna.
Le applicazioni di utilità iniziali mostravano notifiche pop-up fraudolente progettate per imitare gli avvisi di aggiornamento software, convincendo gli utenti a installare il malware di secondo stadio responsabile delle operazioni di frode pubblicitaria.
Per eludere ulteriormente analisi e controlli di sicurezza, Trapdoor ha impiegato molteplici tecniche anti-analisi e di offuscamento. L'operazione si spacciava spesso per SDK legittimi e integrava componenti dannosi in software altrimenti funzionanti, rendendo l'infrastruttura più difficile da identificare per i ricercatori e i sistemi di sicurezza automatizzati.
Google interrompe le operazioni, ma il panorama delle minacce si evolve.
A seguito della segnalazione responsabile da parte dei ricercatori, Google ha rimosso le applicazioni dannose identificate dal Google Play Store, interrompendo di fatto l'infrastruttura della campagna.
L'operazione Trapdoor dimostra come i criminali informatici continuino a sfruttare tecnologie legittime, tra cui piattaforme di attribuzione ed ecosistemi pubblicitari, per creare reti fraudolente scalabili e resilienti. Combinando app a tema utility, WebView nascoste, domini di cashout HTML5 e strategie di attivazione selettiva, gli autori della campagna hanno creato un framework altamente adattabile, in grado di supportare sia il malvertising che le frodi pubblicitarie su larga scala.
I ricercatori hanno sottolineato che operazioni come Trapdoor evidenziano la natura in rapida evoluzione delle minacce per dispositivi mobili, dove i truffatori si affidano sempre più alla furtività, alla distribuzione graduale del payload e a software dall'aspetto legittimo per eludere i sistemi di rilevamento e mantenere flussi di monetizzazione a lungo termine.
