Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel Trapdoor Ad Fraud

Trapdoor Ad Fraud

Por Mezo em Malware móvel
Traduzir Para:

Pesquisadores de cibersegurança descobriram uma sofisticada operação de fraude publicitária e malvertising conhecida como Trapdoor, que visa especificamente usuários do Android por meio de uma extensa rede de aplicativos maliciosos e infraestrutura controlada pelos atacantes. A campanha envolveu 455 aplicativos maliciosos para Android e 183 domínios de Comando e Controle (C2), criando um amplo ecossistema projetado para dar suporte a atividades fraudulentas em múltiplas etapas.

A operação começa quando os usuários instalam, sem saber, aplicativos controlados por atacantes, geralmente disfarçados de ferramentas inofensivas, como leitores de PDF, limpadores de celular ou aplicativos de otimização de dispositivos. Esses aplicativos aparentemente legítimos iniciam campanhas de malvertising que pressionam as vítimas a baixar softwares maliciosos adicionais.

Cadeia de infecção em múltiplos estágios impulsiona fraudes publicitárias ocultas

Os aplicativos de segundo estágio servem como núcleo da operação de fraude. Uma vez instalados, eles iniciam silenciosamente WebViews ocultos, conectam-se a domínios HTML5 operados pelo atacante e solicitam anúncios continuamente em segundo plano. Esses aplicativos também são capazes de realizar fraudes automatizadas por meio de toques, gerando interações publicitárias falsas sem o conhecimento do usuário.

Uma característica fundamental do Trapdoor é seu modelo de negócios autossustentável. Uma única instalação de um aplicativo com aparência legítima pode evoluir para um ciclo contínuo de geração de receita que financia novas campanhas de malvertising. Os pesquisadores também observaram o uso de infraestrutura de saque baseada em HTML5, uma tática anteriormente associada a grupos de ameaças como SlopAds, Low5 e BADBOX 2.0.

Em seu auge, a infraestrutura Trapdoor gerou aproximadamente 659 milhões de solicitações de lances por dia. Os aplicativos conectados à operação acumularam mais de 24 milhões de downloads, com a maior parte do tráfego originário dos Estados Unidos, representando mais de três quartos da atividade da campanha.

A ativação seletiva ajuda a evitar a detecção.

Os atacantes por trás do Trapdoor abusaram de ferramentas de atribuição de instalação, tecnologias comumente usadas por profissionais de marketing legítimos para rastrear como os usuários descobrem aplicativos. Ao manipular esses sistemas, os agentes da ameaça garantiram que a funcionalidade maliciosa fosse ativada apenas para usuários adquiridos por meio de campanhas publicitárias controladas pelos atacantes.

Esse mecanismo de ativação seletiva complicou significativamente os esforços de detecção. Usuários que baixaram os aplicativos diretamente da Google Play Store ou os instalaram por meio de métodos de sideloading geralmente não se depararam com o comportamento malicioso. Em vez disso, o payload era ativado somente depois que as vítimas interagiam com anúncios enganosos ou notificações falsas de atualização veiculadas pela campanha.

Os aplicativos utilitários iniciais exibiam notificações pop-up fraudulentas, projetadas para imitar alertas de atualização de software, convencendo os usuários a instalar o malware de segundo estágio responsável pelas operações de fraude publicitária.

Para evitar ainda mais análises e verificações de segurança, o Trapdoor empregou diversas técnicas de anti-análise e ofuscação. A operação frequentemente se passava por SDKs legítimos e incorporava componentes maliciosos em softwares que, de outra forma, seriam funcionais, dificultando a identificação da infraestrutura por pesquisadores e sistemas de segurança automatizados.

O Google interrompe a operação, mas o cenário de ameaças evolui.

Após a divulgação responsável por parte dos pesquisadores, o Google removeu os aplicativos maliciosos identificados da Google Play Store, interrompendo efetivamente a infraestrutura da campanha.

A operação Trapdoor demonstra como os cibercriminosos continuam a usar tecnologias legítimas como armas, incluindo plataformas de atribuição e ecossistemas de publicidade, para criar redes de fraude escaláveis e resilientes. Combinando aplicativos com temática de utilidade pública, WebViews ocultos, domínios de saque em HTML5 e estratégias de ativação seletiva, os agentes por trás da campanha estabeleceram uma estrutura altamente adaptável, capaz de suportar tanto publicidade maliciosa quanto fraude publicitária em larga escala.

Os pesquisadores enfatizaram que operações como a Trapdoor destacam a natureza em rápida evolução das ameaças móveis, em que os fraudadores dependem cada vez mais de estratégias furtivas, entrega gradual de dados e softwares com aparência legítima para burlar a detecção e manter fluxos de monetização a longo prazo.

Tendendo

Alerta de entregabilidade de e-mail | Golpe de e-mail

Phishing, Spam
E-mails inesperados devem sempre ser tratados com cautela, especialmente quando criam uma sensação de urgência ou solicitam informações confidenciais. Criminosos cibernéticos frequentemente disfarçam mensagens de phishing como notificações legítimas de provedores de serviços confiáveis, numa tentativa de enganar os destinatários para que revelem dados pessoais. Os chamados e-mails de "Alerta de...

Mais visto

Carregando...