Trapdoor reklāmu krāpšana
Kiberdrošības pētnieki ir atklājuši sarežģītu krāpšanas un ļaunprātīgas reklāmas operāciju, kas pazīstama kā Trapdoor un kas īpaši vērsta pret Android lietotājiem, izmantojot plaša mēroga ļaunprātīgu lietojumprogrammu tīklu un uzbrucēju kontrolētu infrastruktūru. Kampaņā bija iesaistītas 455 ļaunprātīgas Android lietotnes un 183 komandvadības (C2) domēni, radot plašu ekosistēmu, kas paredzēta daudzpakāpju krāpšanas darbību atbalstam.
Operācija sākas, kad lietotāji neapzināti instalē uzbrucēju kontrolētas lietojumprogrammas, kas parasti maskējas kā nekaitīgi utilītprogrammas, piemēram, PDF lasītāji, tālruņu tīrītāji vai ierīču optimizācijas lietotnes. Šīs šķietami likumīgās lietojumprogrammas pēc tam uzsāk ļaunprātīgas reklāmas kampaņas, kas piespiež upurus lejupielādēt papildu ļaunprātīgu programmatūru.
Satura rādītājs
Daudzpakāpju inficēšanās ķēde veicina slēptu reklāmu krāpšanu
Otrā posma lietotnes kalpo par krāpšanas operācijas kodolu. Pēc instalēšanas tās nemanāmi palaiž slēptus WebView elementus, izveido savienojumu ar uzbrucēju pārvaldītiem HTML5 domēniem un fonā nepārtraukti pieprasa reklāmas. Šīs lietotnes spēj arī veikt automatizētu krāpšanu ar pieskārienu, ģenerējot viltus reklāmu mijiedarbības bez lietotāja ziņas.
Trapdoor galvenā iezīme ir tā pašpietiekamais biznesa modelis. Viena likumīgi izskatošas lietotnes instalēšana var attīstīties par nepārtrauktu ieņēmumu gūšanas ciklu, kas finansē turpmākas ļaunprātīgas reklāmas kampaņas. Pētnieki novēroja arī HTML5 balstītas izmaksas infrastruktūras izmantošanu — taktiku, kas iepriekš tika saistīta ar tādiem apdraudējumu klasteriem kā SlopAds, Low5 un BADBOX 2.0.
Savā kulminācijas brīdī Trapdoor infrastruktūra ģenerēja aptuveni 659 miljonus cenu pieprasījumu dienā. Ar operāciju saistītās lietojumprogrammas uzkrāja vairāk nekā 24 miljonus lejupielāžu, un lielākā daļa datplūsmas nāca no Amerikas Savienotajām Valstīm, veidojot vairāk nekā trīs ceturtdaļas no kampaņas aktivitātes.
Selektīva aktivizēšana palīdz izvairīties no atklāšanas
Uzbrucēji, kas slēpa Trapdoor platformu, ļaunprātīgi izmantoja instalēšanas atribūcijas rīkus — tehnoloģijas, ko parasti izmanto likumīgi tirgotāji, lai izsekotu, kā lietotāji atrod lietojumprogrammas. Manipulējot šīs sistēmas, apdraudējumu izpildītāji nodrošināja, ka ļaunprātīgā funkcionalitāte tiek aktivizēta tikai lietotājiem, kas iegūti, izmantojot uzbrucēju kontrolētas reklāmas kampaņas.
Šis selektīvais aktivizēšanas mehānisms ievērojami sarežģīja atklāšanas centienus. Lietotāji, kuri lejupielādēja lietotnes tieši no Google Play veikala vai instalēja tās, izmantojot sānielādes metodes, bieži vien nesaskārās ar ļaunprātīgu darbību. Tā vietā lietderīgā slodze tika aktivizēta tikai pēc tam, kad upuri mijiedarbojās ar maldinošām reklāmām vai viltus atjauninājumu uzvednēm, kas tika piegādātas kampaņas laikā.
Sākotnējās utilītu lietojumprogrammas parādīja krāpnieciskus uznirstošos paziņojumus, kas bija paredzēti, lai atdarinātu programmatūras atjauninājumu brīdinājumus, pārliecinot lietotājus instalēt otrās pakāpes ļaunprogrammatūru, kas ir atbildīga par reklāmu krāpšanas darbībām.
Lai vēl vairāk izvairītos no analīzes un drošības pārbaudes, Trapdoor izmantoja vairākas pretanalīzes un obfuskācijas metodes. Operācija bieži vien uzdeva par likumīgiem SDK un iejauca ļaunprātīgus komponentus citādi funkcionējošā programmatūrā, apgrūtinot infrastruktūras identificēšanu pētniekiem un automatizētām drošības sistēmām.
Google pārtrauc darbību, bet draudu ainava mainās
Pēc pētnieku atbildīgas informācijas atklāšanas Google noņēma identificētās ļaunprātīgās lietotnes no Google Play veikala, faktiski traucējot kampaņas infrastruktūras darbību.
Operācija “Trapdoor” parāda, kā kibernoziedznieki turpina izmantot likumīgas tehnoloģijas, tostarp atribūcijas platformas un reklāmas ekosistēmas, kā ieroci, lai izveidotu mērogojamus un noturīgus krāpniecības tīklus. Apvienojot utilītprogrammu lietotnes, slēptos WebView elementus, HTML5 izmaksas domēnus un selektīvas aktivizācijas stratēģijas, kampaņas dalībnieki izveidoja ļoti adaptīvu sistēmu, kas spēj atbalstīt gan ļaunprātīgu reklāmu, gan liela mēroga krāpniecību ar reklāmām.
Pētnieki uzsvēra, ka tādas operācijas kā Trapdoor izceļ mobilo apdraudējumu strauji mainīgo raksturu, kur krāpnieki arvien vairāk paļaujas uz slepenību, pakāpenisku lietderīgās slodzes piegādi un likumīgi izskatīgu programmatūru, lai apietu atklāšanu un uzturētu ilgtermiņa monetizācijas plūsmas.
