Trapdoor Ad Fraud
Дослідники з кібербезпеки виявили складну операцію з шахрайства з рекламою та шкідливої реклами, відому як Trapdoor, яка спеціально націлена на користувачів Android через масштабну мережу шкідливих програм та інфраструктуру, контрольовану зловмисниками. Кампанія охопила 455 шкідливих програм для Android та 183 домени командного контролю (C2), створюючи розгалужену екосистему, призначену для підтримки багатоетапної шахрайської діяльності.
Операція починається, коли користувачі несвідомо встановлюють програми, контрольовані зловмисниками, які зазвичай маскуються під нешкідливі утиліти, такі як програми для читання PDF-файлів, очищення телефонів або оптимізації пристроїв. Ці, здавалося б, легітимні програми потім запускають кампанії шкідливої реклами, які змушують жертв завантажувати додаткове шкідливе програмне забезпечення.
Зміст
Багатоетапний ланцюг зараження призводить до прихованого шахрайства з рекламою
Додатки вторинного етапу слугують основою шахрайської операції. Після встановлення вони непомітно запускають приховані WebView, підключаються до доменів HTML5, якими керують зловмисники, та постійно запитують рекламу у фоновому режимі. Ці додатки також здатні до автоматизованого сенсорного шахрайства, генеруючи фальшиві взаємодії з рекламою без відома користувача.
Ключовою характеристикою Trapdoor є його самодостатня бізнес-модель. Одне встановлення програми, що виглядає легітимною, може перетворитися на безперервний цикл генерування доходів, який фінансує подальші кампанії шкідливої реклами. Дослідники також спостерігали використання інфраструктури виведення коштів на основі HTML5, тактики, яку раніше пов'язували з такими кластерами загроз, як SlopAds, Low5 та BADBOX 2.0.
На піку своєї активності інфраструктура Trapdoor генерувала приблизно 659 мільйонів запитів ставок на день. Додатки, підключені до операції, накопичили понад 24 мільйони завантажень, причому більшість трафіку надходила зі Сполучених Штатів, що становило понад три чверті активності кампанії.
Вибіркова активація допомагає уникнути виявлення
Зловмисники, що стояли за Trapdoor, зловживали інструментами атрибуції встановлення – технологіями, які зазвичай використовуються легітимними маркетологами для відстеження того, як користувачі знаходять додатки. Маніпулюючи цими системами, зловмисники забезпечували активацію шкідливої функції лише для користувачів, отриманих через рекламні кампанії, контрольовані зловмисниками.
Цей механізм вибіркової активації значно ускладнював зусилля з виявлення. Користувачі, які завантажували програми безпосередньо з Google Play Store або встановлювали їх за допомогою методів нестандартного завантаження, часто не стикалися зі шкідливою поведінкою. Натомість корисне навантаження активувалося лише після того, як жертви взаємодіяли з оманливою рекламою або фальшивими запитами на оновлення, що надійшли в рамках кампанії.
Початкові утиліти відображали шахрайські спливаючі сповіщення, призначені для імітації сповіщень про оновлення програмного забезпечення, переконуючи користувачів встановити шкідливе програмне забезпечення другого рівня, відповідальне за шахрайські операції з рекламою.
Щоб ще більше уникнути аналізу та перевірки безпеки, Trapdoor використовував численні методи антианалізу та обфускації. Ця операція часто видавала себе за легітимні SDK та змішувала шкідливі компоненти з іншим функціональним програмним забезпеченням, що ускладнювало ідентифікацію інфраструктури дослідниками та автоматизованими системами безпеки.
Google порушує роботу, але ландшафт загроз розвивається
Після відповідального розкриття інформації дослідниками, Google видалив виявлені шкідливі програми з Google Play Store, фактично порушивши інфраструктуру кампанії.
Операція «Trapdoor» демонструє, як кіберзлочинці продовжують використовувати легітимні технології, включаючи платформи атрибуції та рекламні екосистеми, для створення масштабованих та стійких шахрайських мереж. Поєднуючи утилітарні додатки, приховані WebView, домени для виведення коштів HTML5 та стратегії вибіркової активації, учасники кампанії створили високоадаптивну структуру, здатну підтримувати як шкідливу рекламу, так і масштабне рекламне шахрайство.
Дослідники наголосили, що такі операції, як Trapdoor, підкреслюють швидкозмінний характер мобільних загроз, де шахраї все частіше покладаються на прихованість, поетапну доставку корисного навантаження та програмне забезпечення, що виглядає легітимним, щоб обійти виявлення та підтримувати довгострокові канали монетизації.
