Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Απάτη διαφημίσεων Trapdoor

Απάτη διαφημίσεων Trapdoor

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά
Μετάφραση σε:

Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια εξελιγμένη επιχείρηση απάτης διαφημίσεων και κακόβουλου μάρκετινγκ, γνωστή ως Trapdoor, η οποία στοχεύει συγκεκριμένα χρήστες Android μέσω ενός δικτύου μεγάλης κλίμακας κακόβουλων εφαρμογών και υποδομών που ελέγχονται από εισβολείς. Η εκστρατεία περιελάμβανε 455 κακόβουλες εφαρμογές Android και 183 τομείς Command-and-Control (C2), δημιουργώντας ένα εκτεταμένο οικοσύστημα σχεδιασμένο για να υποστηρίζει δραστηριότητες απάτης σε πολλαπλά στάδια.

Η επιχείρηση ξεκινά όταν οι χρήστες εγκαθιστούν εν αγνοία τους εφαρμογές που ελέγχονται από εισβολείς, οι οποίες συνήθως μεταμφιέζονται σε ακίνδυνα βοηθητικά εργαλεία, όπως προγράμματα ανάγνωσης PDF, προγράμματα καθαρισμού τηλεφώνων ή εφαρμογές βελτιστοποίησης συσκευών. Αυτές οι φαινομενικά νόμιμες εφαρμογές στη συνέχεια ξεκινούν καμπάνιες κακόβουλης διαφήμισης που πιέζουν τα θύματα να κατεβάσουν επιπλέον κακόβουλο λογισμικό.

Η αλυσίδα μόλυνσης σε πολλά στάδια οδηγεί σε κρυφή διαφημιστική απάτη

Οι εφαρμογές δευτερεύοντος σταδίου χρησιμεύουν ως ο πυρήνας της επιχείρησης απάτης. Μόλις εγκατασταθούν, εκκινούν σιωπηλά κρυφά WebViews, συνδέονται με τομείς HTML5 που λειτουργούν από εισβολείς και ζητούν συνεχώς διαφημίσεις στο παρασκήνιο. Αυτές οι εφαρμογές είναι επίσης ικανές για αυτοματοποιημένη απάτη αφής, δημιουργώντας ψεύτικες αλληλεπιδράσεις με διαφημίσεις χωρίς τη γνώση του χρήστη.

Ένα βασικό χαρακτηριστικό του Trapdoor είναι το αυτοσυντηρούμενο επιχειρηματικό του μοντέλο. Μια μόνο εγκατάσταση εφαρμογής που φαίνεται νόμιμη μπορεί να εξελιχθεί σε έναν συνεχή κύκλο δημιουργίας εσόδων που χρηματοδοτεί περαιτέρω καμπάνιες κακόβουλης διαφήμισης. Οι ερευνητές παρατήρησαν επίσης τη χρήση υποδομής cashout που βασίζεται σε HTML5, μια τακτική που προηγουμένως είχε συνδεθεί με ομάδες απειλών όπως τα SlopAds, Low5 και BADBOX 2.0.

Στο αποκορύφωμά της, η υποδομή Trapdoor παρήγαγε περίπου 659 εκατομμύρια αιτήματα προσφορών την ημέρα. Οι εφαρμογές που συνδέονταν με τη λειτουργία συγκέντρωσαν περισσότερες από 24 εκατομμύρια λήψεις, με την πλειονότητα της επισκεψιμότητας να προέρχεται από τις Ηνωμένες Πολιτείες, αντιπροσωπεύοντας πάνω από τα τρία τέταρτα της δραστηριότητας της καμπάνιας.

Η επιλεκτική ενεργοποίηση βοηθά στην αποφυγή ανίχνευσης

Οι εισβολείς πίσω από το Trapdoor καταχράστηκαν εργαλεία απόδοσης εγκατάστασης, τεχνολογίες που χρησιμοποιούνται συνήθως από νόμιμους επαγγελματίες του μάρκετινγκ για να παρακολουθούν τον τρόπο με τον οποίο οι χρήστες ανακαλύπτουν εφαρμογές. Χειραγωγώντας αυτά τα συστήματα, οι απειλητικοί παράγοντες διασφάλισαν ότι η κακόβουλη λειτουργικότητα ενεργοποιούνταν μόνο για χρήστες που αποκτήθηκαν μέσω διαφημιστικών καμπανιών που ελέγχονταν από τους εισβολείς.

Αυτός ο επιλεκτικός μηχανισμός ενεργοποίησης περιέπλεξε σημαντικά τις προσπάθειες ανίχνευσης. Οι χρήστες που κατέβαζαν τις εφαρμογές απευθείας από το Google Play Store ή τις εγκατέστησαν μέσω μεθόδων παράπλευρης φόρτωσης (sideloading) συχνά δεν αντιμετώπιζαν κακόβουλη συμπεριφορά. Αντίθετα, το payload ενεργοποιούνταν μόνο αφού τα θύματα αλληλεπίδρασαν με παραπλανητικές διαφημίσεις ή ψεύτικες προτροπές ενημέρωσης που παρείχαν μέσω της καμπάνιας.

Οι αρχικές εφαρμογές βοηθητικού προγράμματος εμφάνιζαν δόλιες αναδυόμενες ειδοποιήσεις σχεδιασμένες να μιμούνται ειδοποιήσεις ενημέρωσης λογισμικού, πείθοντας τους χρήστες να εγκαταστήσουν το κακόβουλο λογισμικό δεύτερου σταδίου που ήταν υπεύθυνο για τις λειτουργίες απάτης διαφημίσεων.

Για να αποφύγει περαιτέρω την ανάλυση και τον έλεγχο ασφαλείας, η Trapdoor εφάρμοσε πολλαπλές τεχνικές κατά της ανάλυσης και συσκότισης. Η επιχείρηση συχνά πλαστοπροσωπούσε νόμιμα SDK και αναμείγνυε κακόβουλα στοιχεία σε κατά τα άλλα λειτουργικό λογισμικό, καθιστώντας την υποδομή πιο δύσκολη στην αναγνώριση από τους ερευνητές και τα αυτοματοποιημένα συστήματα ασφαλείας.

Η Google διακόπτει τη λειτουργία, αλλά το τοπίο των απειλών εξελίσσεται

Μετά την υπεύθυνη αποκάλυψη από τους ερευνητές, η Google αφαίρεσε τις εντοπισμένες κακόβουλες εφαρμογές από το Google Play Store, διαταράσσοντας ουσιαστικά την υποδομή της καμπάνιας.

Η επιχείρηση Trapdoor καταδεικνύει πώς οι κυβερνοεγκληματίες συνεχίζουν να χρησιμοποιούν ως όπλα νόμιμες τεχνολογίες, συμπεριλαμβανομένων πλατφορμών απόδοσης και οικοσυστημάτων διαφήμισης, για να δημιουργήσουν επεκτάσιμα και ανθεκτικά δίκτυα απάτης. Συνδυάζοντας εφαρμογές με θέμα την κοινή χρήση, κρυφά WebViews, τομείς εξαργύρωσης HTML5 και επιλεκτικές στρατηγικές ενεργοποίησης, οι δράστες πίσω από την εκστρατεία δημιούργησαν ένα εξαιρετικά προσαρμοστικό πλαίσιο ικανό να υποστηρίξει τόσο την κακόβουλη διαφήμιση όσο και την απάτη διαφημίσεων μεγάλης κλίμακας.

Οι ερευνητές τόνισαν ότι επιχειρήσεις όπως το Trapdoor υπογραμμίζουν την ταχέως εξελισσόμενη φύση των απειλών για κινητά, όπου οι απατεώνες βασίζονται όλο και περισσότερο στη μυστικότητα, στη σταδιακή παράδοση ωφέλιμου φορτίου και σε λογισμικό που φαίνεται νόμιμο για να παρακάμψουν την ανίχνευση και να διατηρήσουν μακροπρόθεσμα κανάλια δημιουργίας εσόδων.

Τάσεις

Απάτη μέσω email με ειδοποίηση παράδοσης email

Phishing, Ανεπιθύμητη αλληλογραφία
Τα μη αναμενόμενα email θα πρέπει πάντα να αντιμετωπίζονται με προσοχή, ειδικά όταν δημιουργούν μια αίσθηση επείγοντος ή ζητούν ευαίσθητες πληροφορίες. Οι κυβερνοεγκληματίες συχνά μεταμφιέζουν τα μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) ως νόμιμες ειδοποιήσεις από αξιόπιστους παρόχους υπηρεσιών, σε μια προσπάθεια να εξαπατήσουν τους παραλήπτες ώστε να αποκαλύψουν προσωπικά δεδομένα. Τα...

Searchscr.com

Απατεώνες Ιστότοποι, Browser Hijackers, Πιθανώς ανεπιθύμητα προγράμματα
Η προστασία των συσκευών από ενοχλητικά και αναξιόπιστα PUP (Δυνητικά Ανεπιθύμητα Προγράμματα) είναι απαραίτητη για τη διατήρηση του απορρήτου, της ασφάλειας και της σταθερής απόδοσης του...

Περισσότερες εμφανίσεις

Φόρτωση...