Trapdoor Ad Fraud
Siber güvenlik araştırmacıları, özellikle Android kullanıcılarını hedef alan ve geniş çaplı kötü amaçlı uygulama ağı ve saldırgan kontrolündeki altyapı aracılığıyla faaliyet gösteren, Trapdoor olarak bilinen gelişmiş bir reklam sahtekarlığı ve kötü amaçlı reklam operasyonunu ortaya çıkardı. Kampanya, 455 kötü amaçlı Android uygulaması ve 183 Komuta ve Kontrol (C2) alan adını içeriyordu ve çok aşamalı sahtekarlık faaliyetlerini desteklemek üzere tasarlanmış kapsamlı bir ekosistem oluşturuyordu.
Operasyon, kullanıcıların farkında olmadan saldırganlar tarafından kontrol edilen uygulamaları yüklemesiyle başlar; bu uygulamalar genellikle PDF okuyucular, telefon temizleyiciler veya cihaz optimizasyon uygulamaları gibi zararsız yardımcı araçlar kılığında gizlenmiştir. Bu görünüşte meşru uygulamalar daha sonra kurbanları ek kötü amaçlı yazılımlar indirmeye zorlayan kötü amaçlı reklam kampanyaları başlatır.
İçindekiler
Çok Aşamalı Enfeksiyon Zinciri Gizli Reklam Sahtekarlığını Tetikliyor
İkinci aşama uygulamalar, dolandırıcılık operasyonunun çekirdeğini oluşturur. Kurulduktan sonra, sessizce gizli WebView'ları başlatır, saldırgan tarafından işletilen HTML5 alan adlarına bağlanır ve arka planda sürekli olarak reklam talep eder. Bu uygulamalar ayrıca, kullanıcının bilgisi olmadan sahte reklam etkileşimleri oluşturarak otomatik dokunma dolandırıcılığı yapma yeteneğine de sahiptir.
Trapdoor'un en önemli özelliklerinden biri, kendi kendini sürdüren iş modelidir. Tek bir meşru görünümlü uygulama kurulumu, daha fazla kötü amaçlı reklam kampanyasını finanse eden sürekli bir gelir üretme döngüsüne dönüşebilir. Araştırmacılar ayrıca, daha önce SlopAds, Low5 ve BADBOX 2.0 gibi tehdit gruplarıyla ilişkilendirilen bir taktik olan HTML5 tabanlı para çekme altyapısının kullanımını da gözlemlediler.
En yoğun döneminde, Trapdoor altyapısı günde yaklaşık 659 milyon teklif talebi üretti. Operasyona bağlı uygulamalar 24 milyondan fazla indirme sayısına ulaştı ve trafiğin büyük çoğunluğu Amerika Birleşik Devletleri'nden kaynaklanarak kampanyanın faaliyetlerinin dörtte üçünden fazlasını oluşturdu.
Seçici aktivasyon, tespit edilmekten kaçınmaya yardımcı olur.
Trapdoor saldırısının arkasındaki kişiler, meşru pazarlamacılar tarafından kullanıcıların uygulamaları nasıl keşfettiğini izlemek için yaygın olarak kullanılan yükleme ilişkilendirme araçlarını kötüye kullandılar. Bu sistemleri manipüle ederek, tehdit aktörleri, kötü amaçlı işlevselliğin yalnızca saldırganlar tarafından kontrol edilen reklam kampanyaları aracılığıyla edinilen kullanıcılar için etkinleştirilmesini sağladılar.
Bu seçici etkinleştirme mekanizması, tespit çabalarını önemli ölçüde zorlaştırdı. Uygulamaları doğrudan Google Play Store'dan indiren veya yan yükleme yöntemleriyle kuran kullanıcılar genellikle kötü amaçlı davranışlarla karşılaşmadılar. Bunun yerine, zararlı yazılım yalnızca kurbanlar kampanya aracılığıyla sunulan aldatıcı reklamlarla veya sahte güncelleme uyarılarıyla etkileşime girdikten sonra etkinleşti.
İlk aşamada, yazılım güncelleme uyarılarını taklit etmek üzere tasarlanmış sahte açılır bildirimler görüntülendi ve bu bildirimler, kullanıcıları reklam sahtekarlığı işlemlerinden sorumlu ikinci aşama kötü amaçlı yazılımı yüklemeye ikna etti.
Trapdoor, analiz ve güvenlik incelemelerinden daha da kaçınmak için birden fazla analiz karşıtı ve gizleme tekniği kullandı. Operasyon sık sık meşru SDK'ları taklit etti ve kötü amaçlı bileşenleri işlevsel yazılımlara entegre ederek, altyapının araştırmacılar ve otomatik güvenlik sistemleri tarafından tespit edilmesini daha da zorlaştırdı.
Google Operasyonu Aksatıyor Ama Tehdit Ortamı Değişiyor
Araştırmacıların sorumlu bir şekilde bilgi açıklaması sonrasında Google, tespit edilen kötü amaçlı uygulamaları Google Play Store'dan kaldırdı ve böylece kampanyanın altyapısını etkili bir şekilde sekteye uğrattı.
Trapdoor operasyonu, siber suçluların, ölçeklenebilir ve dayanıklı dolandırıcılık ağları oluşturmak için ilişkilendirme platformları ve reklam ekosistemleri de dahil olmak üzere meşru teknolojileri nasıl silah olarak kullanmaya devam ettiğini göstermektedir. Kampanyanın arkasındaki aktörler, yardımcı program temalı uygulamaları, gizli WebView'leri, HTML5 para çekme alan adlarını ve seçici etkinleştirme stratejilerini birleştirerek, hem kötü amaçlı reklamcılığı hem de büyük ölçekli reklam sahtekarlığını destekleyebilen son derece uyarlanabilir bir çerçeve oluşturmuştur.
Araştırmacılar, Trapdoor gibi operasyonların, dolandırıcıların tespit edilmekten kaçınmak ve uzun vadeli para kazanma süreçlerini sürdürmek için giderek daha fazla gizlilik, aşamalı zararlı yazılım dağıtımı ve meşru görünümlü yazılımlara başvurduğu, mobil tehditlerin hızla gelişen doğasını vurguladığını belirtti.
