Trapdoor reklamos sukčiavimas
Kibernetinio saugumo tyrėjai atskleidė sudėtingą reklamos sukčiavimo ir kenkėjiškos reklamos operaciją, vadinamą „Trapdoor“, kuri specialiai taikosi į „Android“ naudotojus per didelį kenkėjiškų programų tinklą ir užpuolikų kontroliuojamą infrastruktūrą. Kampanijoje dalyvavo 455 kenkėjiškos „Android“ programos ir 183 komandų ir kontrolės (C2) domenai, sukuriant plačią ekosistemą, skirtą palaikyti daugiapakopę sukčiavimo veiklą.
Operacija prasideda, kai vartotojai nesąmoningai įdiegia užpuoliko kontroliuojamas programas, dažniausiai užmaskuotas kaip nekenksmingi įrankiai, tokie kaip PDF skaitytuvai, telefono valikliai ar įrenginių optimizavimo programėlės. Šios, atrodytų, teisėtos programos pradeda kenkėjiškos reklamos kampanijas, kurios verčia aukas atsisiųsti papildomą kenkėjišką programinę įrangą.
Turinys
Daugiapakopė užkrėtimo grandinė skatina paslėptą reklamos sukčiavimą
Antrinio etapo programos yra sukčiavimo operacijos pagrindas. Įdiegtos jos tyliai paleidžia paslėptus „WebView“, prisijungia prie užpuoliko valdomų HTML5 domenų ir nuolat fone prašo rodyti reklamas. Šios programos taip pat gali automatiškai sukčiauti lietimu, generuodamos netikras reklamas be vartotojo žinios.
Svarbiausias „Trapdoor“ bruožas yra jos savarankiškas verslo modelis. Vieno teisėtai atrodančios programėlės diegimas gali išsivystyti į nuolatinį pajamų generavimo ciklą, kuris finansuoja tolesnes kenkėjiškos reklamos kampanijas. Tyrėjai taip pat pastebėjo HTML5 pagrindu sukurtos išgryninimo infrastruktūros naudojimą – taktiką, anksčiau siejamą su tokiomis grėsmių grupėmis kaip „SlopAds“, „Low5“ ir „BADBOX 2.0“.
Didžiausio populiarumo metu „Trapdoor“ infrastruktūra per dieną sugeneruodavo maždaug 659 mln. kainos pasiūlymo užklausų. Su operacija susijusios programos sukaupė daugiau nei 24 mln. atsisiuntimų, o didžioji dalis srauto buvo iš Jungtinių Valstijų, sudarančių daugiau nei tris ketvirtadalius kampanijos veiklos.
Selektyvus aktyvinimas padeda išvengti aptikimo
„Trapdoor“ užpuolikai piktnaudžiauja diegimo priskyrimo įrankiais – technologijomis, kurias teisėti rinkodaros specialistai dažniausiai naudoja stebėdami, kaip vartotojai atranda programas. Manipuliuodami šiomis sistemomis, kenkėjiškos funkcijos buvo aktyvuotos tik tiems vartotojams, kurie buvo įtraukti į sistemą per užpuolikų kontroliuojamas reklamos kampanijas.
Šis selektyvus aktyvinimo mechanizmas gerokai apsunkino aptikimo procesą. Vartotojai, kurie atsisiuntė programas tiesiai iš „Google Play“ parduotuvės arba įdiegė jas naudodami šalutinio įkėlimo metodus, dažnai nesusidūrė su kenkėjiška elgsena. Vietoj to, naudingoji apkrova aktyvuodavosi tik po to, kai aukos sąveikaudavo su klaidinančiomis reklamomis arba netikrais atnaujinimų raginimais, pateiktais per kampaniją.
Pradinės programos rodė apgaulingus iššokančius pranešimus, imituojančius programinės įrangos atnaujinimų įspėjimus, įtikindami vartotojus įdiegti antrojo etapo kenkėjišką programą, atsakingą už reklamos sukčiavimo operacijas.
Siekdama dar labiau išvengti analizės ir saugumo patikrinimų, „Trapdoor“ naudojo įvairius antianalizės ir klaidinimo metodus. Operacijos metu dažnai buvo apsimetinėjama teisėtais SDK ir įmaišoma kenkėjiškų komponentų į kitaip veikiančią programinę įrangą, todėl tyrėjams ir automatizuotoms saugumo sistemoms buvo sunkiau identifikuoti infrastruktūrą.
„Google“ sutrikdo operaciją, tačiau grėsmių peizažas kinta
Po atsakingo tyrėjų atskleidimo „Google“ pašalino nustatytas kenkėjiškas programas iš „Google Play“ parduotuvės, faktiškai sutrikdydama kampanijos infrastruktūrą.
„Trapdoor“ operacija parodo, kaip kibernetiniai nusikaltėliai ir toliau naudoja teisėtas technologijas, įskaitant priskyrimo platformas ir reklamos ekosistemas, siekdami sukurti keičiamo dydžio ir atsparius sukčiavimo tinklus. Derindami su naudingumo programėlėmis, paslėptais „WebView“, HTML5 išgryninimo domenais ir selektyviomis aktyvinimo strategijomis, kampanijos dalyviai sukūrė labai adaptyvią sistemą, galinčią palaikyti tiek kenkėjišką reklamą, tiek didelio masto sukčiavimą reklamos srityje.
Tyrėjai pabrėžė, kad tokios operacijos kaip „Trapdoor“ pabrėžia sparčiai besivystantį mobiliųjų grėsmių pobūdį, kai sukčiai vis dažniau pasikliauja slapta veikla, etapais perduodamu naudinguoju turiniu ir teisėtai atrodančia programine įranga, kad apeitų aptikimą ir palaikytų ilgalaikius pajamų gavimo kanalus.
