Trapdoor Ad Fraud
كشف باحثو الأمن السيبراني عن عملية احتيال إعلاني متطورة وحملة إعلانات خبيثة تُعرف باسم "ترابدور"، تستهدف مستخدمي نظام أندرويد تحديدًا عبر شبكة واسعة من التطبيقات الخبيثة وبنية تحتية يتحكم بها المهاجمون. وشملت الحملة 455 تطبيقًا خبيثًا لنظام أندرويد و183 نطاقًا للتحكم والسيطرة، مما أدى إلى إنشاء منظومة متكاملة مصممة لدعم أنشطة الاحتيال متعددة المراحل.
تبدأ العملية عندما يقوم المستخدمون، دون علمهم، بتثبيت تطبيقات يتحكم بها المهاجمون، والتي عادةً ما تكون متنكرة في هيئة أدوات مساعدة بريئة مثل قارئات ملفات PDF، أو برامج تنظيف الهواتف، أو تطبيقات تحسين أداء الأجهزة. ثم تبدأ هذه التطبيقات التي تبدو شرعية حملات إعلانية خبيثة تضغط على الضحايا لتنزيل برامج ضارة إضافية.
جدول المحتويات
سلسلة العدوى متعددة المراحل تدفع إلى عمليات الاحتيال الإعلاني الخفي
تُشكّل تطبيقات المرحلة الثانوية جوهر عملية الاحتيال. فبمجرد تثبيتها، تُشغّل هذه التطبيقات واجهات ويب مخفية، وتتصل بمواقع HTML5 التي يُديرها المهاجمون، وتطلب الإعلانات باستمرار في الخلفية. كما أنها قادرة على الاحتيال عبر اللمس بشكل آلي، حيث تُولّد تفاعلات إعلانية وهمية دون علم المستخدم.
من أبرز سمات برنامج Trapdoor نموذج أعماله المستدام ذاتيًا. إذ يمكن لتثبيت تطبيق واحد يبدو شرعيًا أن يتحول إلى دورة مستمرة لتوليد الإيرادات، تموّل حملات إعلانية خبيثة أخرى. كما لاحظ الباحثون استخدام بنية تحتية لسحب الأموال تعتمد على تقنية HTML5، وهي تكتيك سبق ربطه بمجموعات تهديد مثل SlopAds وLow5 وBADBOX 2.0.
في ذروة نشاطها، ولّدت بنية Trapdoor التحتية ما يقارب 659 مليون طلب عرض أسعار يومياً. وبلغ عدد مرات تحميل التطبيقات المتصلة بالعملية أكثر من 24 مليون مرة، حيث جاءت غالبية حركة المرور من الولايات المتحدة، ما يمثل أكثر من ثلاثة أرباع نشاط الحملة.
يساعد التنشيط الانتقائي على تجنب الكشف
استغل المهاجمون الذين يقفون وراء برنامج Trapdoor أدوات تتبع عمليات التثبيت، وهي تقنيات شائعة الاستخدام لدى المسوقين الشرعيين لتتبع كيفية اكتشاف المستخدمين للتطبيقات. ومن خلال التلاعب بهذه الأنظمة، ضمن المهاجمون تفعيل الوظائف الخبيثة فقط للمستخدمين الذين تم الوصول إليهم من خلال حملات إعلانية يتحكمون بها.
أدت آلية التفعيل الانتقائي هذه إلى تعقيد جهود الكشف بشكل كبير. فالمستخدمون الذين قاموا بتنزيل التطبيقات مباشرةً من متجر جوجل بلاي أو تثبيتها عبر طرق التثبيت الجانبي لم يواجهوا في الغالب أي سلوك ضار. بدلاً من ذلك، لم يتم تفعيل الحمولة الخبيثة إلا بعد تفاعل الضحايا مع إعلانات مضللة أو إشعارات تحديث وهمية تم إرسالها عبر الحملة.
عرضت تطبيقات الأدوات المساعدة الأولية إشعارات منبثقة احتيالية مصممة لتقليد تنبيهات تحديث البرامج، مما أقنع المستخدمين بتثبيت البرامج الضارة من المرحلة الثانية المسؤولة عن عمليات الاحتيال الإعلاني.
ولتجنب التحليل والتدقيق الأمني بشكل أكبر، استخدمت شركة ترابدور تقنيات متعددة لمكافحة التحليل والتمويه. وقد انتحلت العملية في كثير من الأحيان صفة حزم تطوير البرامج (SDKs) الشرعية، ودمجت مكونات خبيثة في برامج تعمل بشكل طبيعي، مما جعل من الصعب على الباحثين وأنظمة الأمان الآلية تحديد البنية التحتية.
جوجل تعطل العمليات، لكن المشهد الأمني يتطور.
بعد الكشف المسؤول من قبل الباحثين، قامت جوجل بإزالة التطبيقات الخبيثة المحددة من متجر جوجل بلاي، مما أدى فعلياً إلى تعطيل البنية التحتية للحملة.
تُظهر عملية "الترابدور" كيف يواصل مجرمو الإنترنت استغلال التقنيات المشروعة، بما في ذلك منصات الإسناد وأنظمة الإعلانات، لإنشاء شبكات احتيال قابلة للتوسع ومرنة. فمن خلال الجمع بين تطبيقات ذات طابع خدمي، وواجهات ويب مخفية، ونطاقات سحب نقدي بتقنية HTML5، واستراتيجيات تفعيل انتقائية، أنشأ القائمون على الحملة إطار عمل شديد التكيف قادر على دعم كل من الإعلانات الخبيثة والاحتيال الإعلاني واسع النطاق.
أكد الباحثون أن عمليات مثل Trapdoor تسلط الضوء على الطبيعة سريعة التطور للتهديدات المتنقلة، حيث يعتمد المحتالون بشكل متزايد على التخفي، وتسليم الحمولة على مراحل، والبرامج التي تبدو شرعية لتجاوز الكشف والحفاظ على قنوات تحقيق الدخل على المدى الطويل.
