Trapdoor Ad Fraud
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một hoạt động gian lận quảng cáo và quảng cáo độc hại tinh vi có tên gọi Trapdoor, nhắm mục tiêu cụ thể vào người dùng Android thông qua một mạng lưới ứng dụng độc hại quy mô lớn và cơ sở hạ tầng do kẻ tấn công kiểm soát. Chiến dịch này bao gồm 455 ứng dụng Android độc hại và 183 tên miền điều khiển (C2), tạo ra một hệ sinh thái rộng lớn được thiết kế để hỗ trợ các hoạt động gian lận nhiều giai đoạn.
Quá trình này bắt đầu khi người dùng vô tình cài đặt các ứng dụng do kẻ tấn công điều khiển, thường được ngụy trang dưới dạng các công cụ tiện ích vô hại như trình đọc PDF, ứng dụng dọn dẹp điện thoại hoặc ứng dụng tối ưu hóa thiết bị. Những ứng dụng tưởng chừng hợp pháp này sau đó sẽ khởi động các chiến dịch quảng cáo độc hại, gây áp lực buộc nạn nhân tải xuống thêm phần mềm độc hại khác.
Mục lục
Chuỗi lây nhiễm nhiều giai đoạn thúc đẩy gian lận quảng cáo ngầm
Các ứng dụng giai đoạn thứ cấp đóng vai trò cốt lõi trong hoạt động gian lận. Sau khi được cài đặt, chúng âm thầm khởi chạy các WebView ẩn, kết nối với các tên miền HTML5 do kẻ tấn công điều hành và liên tục yêu cầu quảng cáo trong nền. Các ứng dụng này cũng có khả năng thực hiện gian lận cảm ứng tự động, tạo ra các tương tác quảng cáo giả mạo mà người dùng không hề hay biết.
Một đặc điểm quan trọng của Trapdoor là mô hình kinh doanh tự duy trì. Chỉ cần một lần cài đặt ứng dụng trông có vẻ hợp pháp cũng có thể phát triển thành một chu kỳ tạo doanh thu liên tục, tài trợ cho các chiến dịch quảng cáo độc hại tiếp theo. Các nhà nghiên cứu cũng quan sát thấy việc sử dụng cơ sở hạ tầng rút tiền dựa trên HTML5, một chiến thuật trước đây thường được liên kết với các nhóm phần mềm độc hại như SlopAds, Low5 và BADBOX 2.0.
Vào thời điểm cao điểm, hệ thống Trapdoor tạo ra khoảng 659 triệu yêu cầu đấu thầu mỗi ngày. Các ứng dụng kết nối với chiến dịch này đã tích lũy được hơn 24 triệu lượt tải xuống, với phần lớn lưu lượng truy cập đến từ Hoa Kỳ, chiếm hơn ba phần tư hoạt động của chiến dịch.
Kích hoạt có chọn lọc giúp tránh bị phát hiện
Nhóm tin tặc đứng sau cửa hàng Trapdoor đã lợi dụng các công cụ theo dõi lượt cài đặt, những công nghệ thường được các nhà tiếp thị hợp pháp sử dụng để theo dõi cách người dùng tìm thấy ứng dụng. Bằng cách thao túng các hệ thống này, những kẻ tấn công đã đảm bảo rằng chức năng độc hại chỉ được kích hoạt đối với những người dùng có được thông qua các chiến dịch quảng cáo do chúng kiểm soát.
Cơ chế kích hoạt có chọn lọc này đã làm phức tạp đáng kể các nỗ lực phát hiện. Người dùng tải ứng dụng trực tiếp từ Google Play Store hoặc cài đặt chúng thông qua các phương pháp cài đặt thủ công thường không gặp phải hành vi độc hại. Thay vào đó, phần mềm độc hại chỉ được kích hoạt sau khi nạn nhân tương tác với các quảng cáo lừa đảo hoặc các thông báo cập nhật giả mạo được phân phối thông qua chiến dịch này.
Các ứng dụng tiện ích ban đầu hiển thị các thông báo bật lên giả mạo được thiết kế để bắt chước cảnh báo cập nhật phần mềm, thuyết phục người dùng cài đặt phần mềm độc hại giai đoạn hai chịu trách nhiệm cho các hoạt động gian lận quảng cáo.
Để tránh bị phân tích và kiểm tra an ninh, Trapdoor đã sử dụng nhiều kỹ thuật chống phân tích và che giấu mã nguồn. Hệ thống này thường xuyên giả mạo các SDK hợp pháp và tích hợp các thành phần độc hại vào phần mềm hoạt động bình thường, khiến cho các nhà nghiên cứu và hệ thống an ninh tự động khó nhận diện hơn.
Google can thiệp vào hoạt động nhưng bối cảnh mối đe dọa vẫn đang thay đổi.
Sau khi các nhà nghiên cứu công bố thông tin một cách có trách nhiệm, Google đã gỡ bỏ các ứng dụng độc hại được xác định khỏi Google Play Store, qua đó làm gián đoạn hiệu quả cơ sở hạ tầng của chiến dịch này.
Chiến dịch Trapdoor cho thấy tội phạm mạng tiếp tục sử dụng các công nghệ hợp pháp, bao gồm nền tảng phân tích nguồn gốc và hệ sinh thái quảng cáo, như một vũ khí để tạo ra các mạng lưới gian lận có khả năng mở rộng và bền vững. Bằng cách kết hợp các ứng dụng tiện ích, WebView ẩn, tên miền rút tiền HTML5 và các chiến lược kích hoạt có chọn lọc, những kẻ đứng sau chiến dịch này đã thiết lập một khuôn khổ có khả năng thích ứng cao, hỗ trợ cả quảng cáo độc hại và gian lận quảng cáo quy mô lớn.
Các nhà nghiên cứu nhấn mạnh rằng các hoạt động như Trapdoor cho thấy bản chất đang phát triển nhanh chóng của các mối đe dọa trên thiết bị di động, nơi những kẻ lừa đảo ngày càng dựa vào sự lén lút, việc phân phối phần mềm độc hại được dàn dựng và phần mềm trông có vẻ hợp pháp để vượt qua sự phát hiện và duy trì các kênh kiếm tiền lâu dài.
