Trapdoor Ad Fraud
Cercetătorii în domeniul securității cibernetice au descoperit o operațiune sofisticată de fraudă publicitară și publicitate malicioasă, cunoscută sub numele de Trapdoor, care vizează în mod specific utilizatorii Android prin intermediul unei rețele la scară largă de aplicații rău intenționate și infrastructură controlată de atacatori. Campania a implicat 455 de aplicații Android rău intenționate și 183 de domenii Command-and-Control (C2), creând un ecosistem extins conceput pentru a susține activități frauduloase în mai multe etape.
Operațiunea începe atunci când utilizatorii instalează fără știrea lor aplicații controlate de atacatori, deghizate de obicei în instrumente utilitare inofensive, cum ar fi cititoare PDF, aplicații de curățare a telefoanelor sau aplicații de optimizare a dispozitivelor. Aceste aplicații aparent legitime inițiază apoi campanii de publicitate malware care presează victimele să descarce software rău intenționat suplimentar.
Cuprins
Lanțul de infecții în mai multe etape duce la frauda publicitară ascunsă
Aplicațiile din etapa secundară servesc drept nucleu al operațiunii de fraudă. Odată instalate, acestea lansează în mod silențios WebView-uri ascunse, se conectează la domenii HTML5 operate de atacatori și solicită continuu reclame în fundal. Aceste aplicații sunt, de asemenea, capabile de fraudă tactilă automată, generând interacțiuni false cu reclame fără știrea utilizatorului.
O caracteristică cheie a Trapdoor este modelul său de afaceri autosustenabil. O singură instalare a aplicației, aparent legitimă, poate evolua într-un ciclu continuu de generare a veniturilor care finanțează campanii suplimentare de publicitate malware. Cercetătorii au observat, de asemenea, utilizarea infrastructurii de retragere a fondurilor bazate pe HTML5, o tactică asociată anterior cu clustere de amenințări precum SlopAds, Low5 și BADBOX 2.0.
În perioada de vârf, infrastructura Trapdoor a generat aproximativ 659 de milioane de cereri de licitare pe zi. Aplicațiile conectate la operațiune au acumulat peste 24 de milioane de descărcări, majoritatea traficului provenind din Statele Unite, reprezentând peste trei sferturi din activitatea campaniei.
Activarea selectivă ajută la evitarea detectării
Atacatorii din spatele Trapdoor au abuzat de instrumentele de atribuire a instalărilor, tehnologii utilizate în mod obișnuit de marketerii legitimi pentru a urmări modul în care utilizatorii descoperă aplicațiile. Prin manipularea acestor sisteme, autorii amenințărilor s-au asigurat că funcționalitățile rău intenționate se activau doar pentru utilizatorii dobândiți prin campanii publicitare controlate de atacatori.
Acest mecanism de activare selectivă a complicat semnificativ eforturile de detectare. Utilizatorii care au descărcat aplicațiile direct din Magazinul Google Play sau le-au instalat prin metode de încărcare laterală nu au întâlnit adesea comportamente rău intenționate. În schimb, sarcina utilă s-a activat numai după ce victimele au interacționat cu reclame înșelătoare sau solicitări de actualizare false livrate prin intermediul campaniei.
Aplicațiile utilitare inițiale afișau notificări pop-up frauduloase concepute pentru a imita alertele de actualizare a software-ului, convingând utilizatorii să instaleze malware-ul de a doua etapă responsabil pentru operațiunile de fraudă publicitară.
Pentru a evita și mai mult analiza și controlul asupra securității, Trapdoor a folosit multiple tehnici anti-analiză și ofuscare. Operațiunea a imitat frecvent SDK-uri legitime și a combinat componente malițioase în software altfel funcțional, ceea ce a făcut ca infrastructura să fie mai dificil de identificat pentru cercetători și sistemele de securitate automate.
Google perturbă operațiunile, dar peisajul amenințărilor evoluează
În urma dezvăluirii responsabile de către cercetători, Google a eliminat aplicațiile rău intenționate identificate din Magazinul Google Play, perturbând efectiv infrastructura campaniei.
Operațiunea Trapdoor demonstrează modul în care infractorii cibernetici continuă să utilizeze în arme tehnologiile legitime, inclusiv platformele de atribuire și ecosistemele de publicitate, pentru a crea rețele de fraudă scalabile și rezistente. Prin combinarea aplicațiilor cu tematică utilitară, a WebView-urilor ascunse, a domeniilor de retragere HTML5 și a strategiilor de activare selectivă, actorii din spatele campaniei au stabilit un cadru extrem de adaptiv, capabil să susțină atât publicitatea malware, cât și frauda publicitară la scară largă.
Cercetătorii au subliniat că operațiuni precum Trapdoor evidențiază natura în rapidă evoluție a amenințărilor mobile, unde escrocii se bazează din ce în ce mai mult pe furiș, livrarea etapizată a sarcinilor utile și software cu aspect legitim pentru a ocoli detectarea și a menține canale de monetizare pe termen lung.
