Trapdoor Ad Fraud
Исследователи в области кибербезопасности обнаружили сложную операцию по мошенничеству с рекламой и распространению вредоносных рекламных объявлений, известную как Trapdoor, которая целенаправленно нацелена на пользователей Android через масштабную сеть вредоносных приложений и контролируемую злоумышленниками инфраструктуру. Кампания включала 455 вредоносных приложений для Android и 183 домена управления и контроля (C2), создав обширную экосистему, предназначенную для поддержки многоэтапных мошеннических действий.
Операция начинается с того, что пользователи, сами того не подозревая, устанавливают контролируемые злоумышленниками приложения, обычно замаскированные под безобидные утилиты, такие как программы для чтения PDF-файлов, программы для очистки телефонов или приложения для оптимизации устройств. Затем эти, казалось бы, легитимные приложения запускают рекламные кампании, которые вынуждают жертв загружать дополнительное вредоносное программное обеспечение.
Оглавление
Многоступенчатая цепочка заражения способствует скрытому мошенничеству с рекламой.
Приложения вторичного этапа служат ядром мошеннической операции. После установки они незаметно запускают скрытые WebViews, подключаются к управляемым злоумышленником HTML5-доменам и постоянно запрашивают рекламу в фоновом режиме. Эти приложения также способны к автоматизированному мошенничеству с использованием сенсорного ввода, генерируя поддельные рекламные взаимодействия без ведома пользователя.
Ключевой характеристикой Trapdoor является его самоподдерживающаяся бизнес-модель. Одна установка приложения, выглядящего вполне легитимно, может перерасти в непрерывный цикл получения дохода, финансирующий дальнейшие кампании вредоносной рекламы. Исследователи также отметили использование инфраструктуры для вывода средств на основе HTML5 — тактики, ранее связанной с такими группами угроз, как SlopAds, Low5 и BADBOX 2.0.
На пике своего развития инфраструктура Trapdoor генерировала приблизительно 659 миллионов запросов на размещение ставок в день. Приложения, подключенные к этой системе, накопили более 24 миллионов загрузок, при этом большая часть трафика поступала из США, на которые приходилось более трех четвертей активности кампании.
Селективная активация помогает избежать обнаружения.
Злоумышленники, стоящие за Trapdoor, использовали инструменты атрибуции установок — технологии, обычно применяемые легитимными маркетологами для отслеживания того, как пользователи находят приложения. Манипулируя этими системами, злоумышленники обеспечили активацию вредоносного функционала только для пользователей, привлеченных через рекламные кампании, контролируемые злоумышленниками.
Этот механизм избирательной активации значительно усложнил обнаружение. Пользователи, которые загружали приложения непосредственно из Google Play Store или устанавливали их с помощью методов боковой загрузки, часто не сталкивались со вредоносным поведением. Вместо этого полезная нагрузка активировалась только после того, как жертвы взаимодействовали с обманчивой рекламой или поддельными уведомлениями об обновлении, распространяемыми в рамках кампании.
Первоначальные утилиты отображали мошеннические всплывающие уведомления, имитирующие оповещения об обновлении программного обеспечения, убеждая пользователей установить вредоносное ПО второго этапа, ответственное за операции по мошенничеству с рекламой.
Чтобы еще больше избежать анализа и проверки безопасности, Trapdoor использовала множество методов противодействия анализу и обфускации. Операция часто имитировала легитимные SDK и внедряла вредоносные компоненты в функциональное программное обеспечение, что затрудняло идентификацию инфраструктуры исследователями и автоматизированными системами безопасности.
Google нарушает работу системы, но ландшафт угроз меняется.
После того, как исследователи ответственно раскрыли информацию, Google удалил выявленные вредоносные приложения из магазина Google Play, фактически нарушив инфраструктуру кампании.
Операция «Ловушка» демонстрирует, как киберпреступники продолжают использовать легитимные технологии, включая платформы атрибуции и рекламные экосистемы, для создания масштабируемых и устойчивых сетей мошенничества. Сочетая приложения с функциональными приложениями, скрытые WebViews, домены для вывода средств на основе HTML5 и стратегии выборочной активации, участники кампании создали высокоадаптивную структуру, способную поддерживать как вредоносную рекламу, так и крупномасштабное мошенничество с рекламой.
Исследователи подчеркнули, что такие операции, как Trapdoor, демонстрируют быстро меняющуюся природу мобильных угроз, где мошенники все чаще полагаются на скрытность, поэтапную доставку полезной нагрузки и программное обеспечение, выглядящее как легитимное, чтобы обойти обнаружение и поддерживать долгосрочные каналы монетизации.
