Trapdoor-advertentiefraude
Onderzoekers op het gebied van cyberbeveiliging hebben een geavanceerde advertentiefraude- en malvertisingoperatie ontdekt, genaamd Trapdoor. Deze operatie richt zich specifiek op Android-gebruikers via een grootschalig netwerk van kwaadaardige applicaties en door aanvallers beheerde infrastructuur. De campagne omvatte 455 kwaadaardige Android-apps en 183 Command-and-Control (C2)-domeinen, waarmee een uitgebreid ecosysteem werd gecreëerd dat ontworpen was om frauduleuze activiteiten in meerdere fasen te ondersteunen.
De operatie begint wanneer gebruikers onbewust applicaties installeren die door aanvallers worden beheerd. Deze applicaties zijn vaak vermomd als onschuldige hulpprogramma's zoals pdf-lezers, telefoonopschoonprogramma's of apps voor apparaatoptimalisatie. Deze ogenschijnlijk legitieme applicaties starten vervolgens malvertisingcampagnes die slachtoffers onder druk zetten om aanvullende schadelijke software te downloaden.
Inhoudsopgave
Een infectieketen in meerdere fasen drijft verborgen advertentiefraude aan.
De applicaties in de secundaire fase vormen de kern van de fraudeoperatie. Na installatie starten ze stilletjes verborgen WebViews, maken ze verbinding met door de aanvaller beheerde HTML5-domeinen en vragen ze continu op de achtergrond om advertenties. Deze apps zijn ook in staat tot geautomatiseerde touchfraude, waarbij ze nep-advertentie-interacties genereren zonder dat de gebruiker dit merkt.
Een belangrijk kenmerk van Trapdoor is het zelfvoorzienende bedrijfsmodel. Een enkele, legitiem ogende app-installatie kan uitgroeien tot een continue cyclus van inkomsten genererende activiteiten waarmee verdere malvertising-campagnes worden gefinancierd. Onderzoekers observeerden ook het gebruik van een op HTML5 gebaseerde cashout-infrastructuur, een tactiek die eerder werd geassocieerd met bedreigingsclusters zoals SlopAds, Low5 en BADBOX 2.0.
Op zijn hoogtepunt genereerde de Trapdoor-infrastructuur ongeveer 659 miljoen biedingsverzoeken per dag. Applicaties die aan de operatie waren gekoppeld, genereerden meer dan 24 miljoen downloads, waarbij het merendeel van het verkeer afkomstig was uit de Verenigde Staten, goed voor meer dan driekwart van de campagneactiviteit.
Selectieve activering helpt detectie te ontwijken.
De aanvallers achter Trapdoor misbruikten tools voor installatietoewijzing, technologieën die legitieme marketeers vaak gebruiken om te volgen hoe gebruikers applicaties ontdekken. Door deze systemen te manipuleren, zorgden de cybercriminelen ervoor dat de schadelijke functionaliteit alleen werd geactiveerd voor gebruikers die waren geworven via door de aanvallers beheerde advertentiecampagnes.
Dit selectieve activeringsmechanisme maakte detectiepogingen aanzienlijk lastiger. Gebruikers die de applicaties rechtstreeks uit de Google Play Store downloadden of via sideloading installeerden, ondervonden vaak geen kwaadaardig gedrag. De payload werd pas geactiveerd nadat slachtoffers interactie hadden met misleidende advertenties of valse updatemeldingen die via de campagne werden verspreid.
De eerste hulpprogramma's toonden frauduleuze pop-upmeldingen die waren ontworpen om software-updatewaarschuwingen na te bootsen, waardoor gebruikers werden overgehaald om de malware van de tweede fase te installeren die verantwoordelijk was voor de advertentiefraude.
Om analyse en beveiligingsonderzoek verder te omzeilen, maakte Trapdoor gebruik van meerdere anti-analyse- en obfuscatietechnieken. De operatie deed zich regelmatig voor als legitieme SDK's en vermengde kwaadaardige componenten met anderszins functionerende software, waardoor de infrastructuur moeilijker te identificeren was voor onderzoekers en geautomatiseerde beveiligingssystemen.
Google verstoort de operatie, maar het dreigingslandschap verandert.
Na een verantwoorde melding door onderzoekers heeft Google de geïdentificeerde kwaadwillige applicaties uit de Google Play Store verwijderd, waardoor de infrastructuur van de campagne effectief werd ontwricht.
De Trapdoor-operatie laat zien hoe cybercriminelen legitieme technologieën, waaronder attributieplatformen en advertentiesystemen, blijven inzetten om schaalbare en robuuste fraudenetwerken te creëren. Door apps met een nuttig thema, verborgen WebViews, HTML5-cashoutdomeinen en selectieve activeringsstrategieën te combineren, hebben de daders achter de campagne een zeer flexibel raamwerk opgezet dat zowel malvertising als grootschalige advertentiefraude mogelijk maakt.
Onderzoekers benadrukten dat operaties zoals Trapdoor de snel veranderende aard van mobiele dreigingen aantonen, waarbij fraudeurs steeds vaker gebruikmaken van heimelijke methoden, gefaseerde levering van schadelijke software en legitiem ogende software om detectie te omzeilen en langdurige verdienmodellen in stand te houden.
