TERRACOTA

Como você procederia se encontrasse um aplicativo na Loja do Google Play oferecendo o envio gratuito de um par de sapatos de alta qualidade, ou cupons, ingressos para eventos e até procedimentos caros de dentadura em troca de fazer o download no seu dispositivo e obter detalhes pessoais? Parece bom demais para ser verdade, certo? Na verdade, isso tudo é apenas uma fachada para um botnet de fraude de publicidade chamado TERRACOTTA pelos pesquisadores da equipe Satori Threat Intelligence & Research da White Ops que o descobriram.

Na verdade, os usuários estavam baixando e instalando malware nos seus dispositivos, em vez de simplesmente esperar 14 dias e receber as recompensas gratuitas prometidas. O usuário médio não teria notado, entretanto, porque o TERRACOTTA não exibe anúncios. O aplicativo corrompido também não relatou ser compatível com anúncios na Loja do Google Play. Então, como os hackers por trás do TERRACOTTA estão gerando ganhos monetários?

O TERRACOTTA Mostra Conhecer Intimamente o Ecossistema Publicitário

A carga útil distribuída pelos aplicativos corrompidos é um navegador Android customizado que vem equipado com um módulo de controle escrito na estrutura de desenvolvimento React Native. Uma vez executado, ele começa a gerar impressões de publicidade fraudulentas e as vende no ecossistema de publicidade programática. Todas as atividades fraudulentas estão sendo realizadas no plano de fundo do dispositivo infectado, sem nunca alertar o usuário. O objetivo dos hackers por trás do TERRACOTTA não era atingir vítimas individuais, mas fraudar anunciantes em uma maior escala. Em apenas alguns meses, o TERRACOTTA conseguiu infectar 65.000 dispositivos, falsificar 5.500 aplicativos diferentes e gerar 2,4 bilhões de solicitações de lance de anúncio.

Esses números falsos poderiam ser facilmente detectados se o TERRACOTTA não viesse equipado com várias técnicas sofisticadas para ajudá-lo em seus esforços criminosos. Por exemplo,o TERRACOTTA usa representação falsa para o tráfego que gera falsificando outros aplicativos legítimos. Para evitar a detecção, ele aproveita seu Android Web View para renderizar os anúncios, permitindo que o malware modifique certos parâmetros técnicos usados para verificação do aplicativo. Além disso, ele evita ser capturado pelo application-ads.txt, um padrão do setor, apenas falsificando aplicativos legítimos que não fazem parte do application-ads.txt. Um dos recursos mais sofisticados do TERRACOTTA é sua capacidade de evitar a detecção de marcas, suprimindo o conteúdo dos domínios de verificação de anúncios, usando uma técnica semelhante ao bloqueio de anúncios.

Para fazer com que suas impressões de anúncios pareçam o mais reais possível, o TERRACOTTA foi projetado para garantir a variação, ocultando o fato de que o tráfego gerado é todo baseado na versão 80 do Chromium e, em vez disso, simula várias versões diferentes do Chromium. Ele também controla a taxa de cliques das impressões do anúncio e o local exato em que o clique ou toque foi registrado no anúncio.

O que a campanha do TERRACOTTA demonstra mais uma vez é a eficácia de prometer produtos gratuitos, pois sempre há pessoas dispostas a ignorar o bom senso na esperança de obter produtos gratuitos.