Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Trapdoor Ad Fraud

Trapdoor Ad Fraud

El Mezo el Programari maliciós mòbil
Traduir a:

Investigadors de ciberseguretat han descobert una sofisticada operació de frau publicitari i publicitat maliciosa coneguda com a Trapdoor, que s'adreça específicament als usuaris d'Android a través d'una xarxa a gran escala d'aplicacions malicioses i una infraestructura controlada per atacants. La campanya va involucrar 455 aplicacions malicioses d'Android i 183 dominis de comandament i control (C2), creant un extens ecosistema dissenyat per donar suport a activitats de frau en diverses etapes.

L'operació comença quan els usuaris instal·len sense saber-ho aplicacions controlades per atacants, generalment disfressades d'eines d'utilitat inofensives com ara lectors de PDF, netejadors de telèfons o aplicacions d'optimització de dispositius. Aquestes aplicacions aparentment legítimes inicien campanyes de publicitat maliciosa que pressionen les víctimes perquè descarreguin programari maliciós addicional.

La cadena d’infecció multietapa impulsa el frau publicitari ocult

Les aplicacions de fase secundària serveixen com a nucli de l'operació de frau. Un cop instal·lades, inicien silenciosament WebViews ocultes, es connecten a dominis HTML5 operats per atacants i sol·liciten contínuament anuncis en segon pla. Aquestes aplicacions també són capaces de fer fraus tàctils automatitzats, generant interaccions amb anuncis falsos sense el coneixement de l'usuari.

Una característica clau de Trapdoor és el seu model de negoci autosostenible. Una sola instal·lació d'aplicació aparentment legítima pot evolucionar cap a un cicle continu de generació d'ingressos que finança més campanyes de publicitat maliciosa. Els investigadors també van observar l'ús d'una infraestructura de retirada de diners basada en HTML5, una tàctica anteriorment associada amb clústers d'amenaces com ara SlopAds, Low5 i BADBOX 2.0.

En el seu punt àlgid, la infraestructura de Trapdoor generava aproximadament 659 milions de sol·licituds d'oferta per dia. Les aplicacions connectades a l'operació van acumular més de 24 milions de descàrregues, i la majoria del trànsit provenia dels Estats Units, cosa que representava més de tres quartes parts de l'activitat de la campanya.

L’activació selectiva ajuda a evadir la detecció

Els atacants darrere de Trapdoor van abusar de les eines d'atribució d'instal·lació, tecnologies que solen utilitzar els professionals del màrqueting legítims per rastrejar com els usuaris descobreixen les aplicacions. En manipular aquests sistemes, els actors amenaçadors es van assegurar que la funcionalitat maliciosa només s'activés per als usuaris adquirits a través de campanyes publicitàries controlades pels atacants.

Aquest mecanisme d'activació selectiva va complicar significativament els esforços de detecció. Els usuaris que descarregaven les aplicacions directament de Google Play Store o les instal·laven mitjançant mètodes de càrrega lateral sovint no es trobaven amb comportaments maliciosos. En canvi, la càrrega útil només s'activava després que les víctimes interactuessin amb anuncis enganyosos o amb sol·licituds d'actualització falses que es lliuraven a través de la campanya.

Les aplicacions d'utilitat inicials mostraven notificacions emergents fraudulentes dissenyades per imitar alertes d'actualització de programari, convencent els usuaris d'instal·lar el programari maliciós de segona fase responsable de les operacions de frau publicitari.

Per evitar encara més l'anàlisi i l'escrutini de seguretat, Trapdoor va emprar múltiples tècniques antianàlisi i ofuscació. L'operació sovint suplantava SDK legítims i combinava components maliciosos en programari que d'altra banda funcionaria, cosa que dificultava la identificació de la infraestructura per als investigadors i els sistemes de seguretat automatitzats.

Google interromp l’operació, però el panorama d’amenaces evoluciona

Després d'una divulgació responsable per part dels investigadors, Google va eliminar les aplicacions malicioses identificades de Google Play Store, cosa que va interrompre la infraestructura de la campanya.

L'operació Trapdoor demostra com els ciberdelinqüents continuen utilitzant tecnologies legítimes com a armes, incloent-hi plataformes d'atribució i ecosistemes publicitaris, per crear xarxes de frau escalables i resistents. Combinant aplicacions amb temàtica d'utilitat, WebViews ocultes, dominis de retirada HTML5 i estratègies d'activació selectiva, els actors darrere de la campanya van establir un marc altament adaptatiu capaç de donar suport tant a la publicitat maliciosa com al frau publicitari a gran escala.

Els investigadors van emfatitzar que operacions com Trapdoor posen de manifest la naturalesa en ràpida evolució de les amenaces mòbils, on els estafadors confien cada cop més en l'ocultació, el lliurament de càrrega per etapes i el programari aparentment legítim per evitar la detecció i mantenir les línies de monetització a llarg termini.

Tendència

Estafa per correu electrònic d'alerta de lliurament...

Phishing, Correu brossa
Els correus electrònics inesperats sempre s'han de tractar amb precaució, sobretot quan creen una sensació d'urgència o sol·liciten informació confidencial. Els ciberdelinqüents sovint disfressen els missatges de phishing com a notificacions legítimes de proveïdors de serveis de confiança en un intent d'enganyar els destinataris perquè revelin dades personals. Els correus electrònics anomenats...

Més vist

Carregant...