Trapdoor Ad Fraud

محققان امنیت سایبری یک عملیات پیچیده کلاهبرداری تبلیغاتی و بدافزاری به نام Trapdoor را کشف کرده‌اند که به‌طور خاص کاربران اندروید را از طریق شبکه‌ای گسترده از برنامه‌های مخرب و زیرساخت‌های تحت کنترل مهاجم هدف قرار می‌دهد. این کمپین شامل ۴۵۵ برنامه مخرب اندرویدی و ۱۸۳ دامنه فرماندهی و کنترل (C2) بود که یک اکوسیستم گسترده برای پشتیبانی از فعالیت‌های کلاهبرداری چند مرحله‌ای ایجاد می‌کرد.

این عملیات زمانی آغاز می‌شود که کاربران ناآگاهانه برنامه‌های تحت کنترل مهاجم را نصب می‌کنند، که معمولاً در قالب ابزارهای بی‌ضرر مانند برنامه‌های خواندن PDF، پاک‌کننده‌های تلفن یا برنامه‌های بهینه‌سازی دستگاه پنهان می‌شوند. سپس این برنامه‌های به ظاهر قانونی، کمپین‌های تبلیغاتی مخرب را آغاز می‌کنند که قربانیان را برای دانلود نرم‌افزارهای مخرب اضافی تحت فشار قرار می‌دهند.

زنجیره آلودگی چند مرحله‌ای، کلاهبرداری تبلیغاتی پنهان را هدایت می‌کند

برنامه‌های مرحله دوم به عنوان هسته اصلی عملیات کلاهبرداری عمل می‌کنند. پس از نصب، آنها به طور مخفیانه WebViewهای پنهان را اجرا می‌کنند، به دامنه‌های HTML5 تحت کنترل مهاجم متصل می‌شوند و به طور مداوم در پس‌زمینه درخواست تبلیغات می‌کنند. این برنامه‌ها همچنین قادر به کلاهبرداری لمسی خودکار هستند و بدون اطلاع کاربر، تعاملات تبلیغاتی جعلی ایجاد می‌کنند.

یکی از ویژگی‌های کلیدی Trapdoor، مدل کسب‌وکار خودکفای آن است. یک نصب برنامه‌ی ظاهراً قانونی می‌تواند به یک چرخه‌ی درآمدزایی مداوم تبدیل شود که کمپین‌های تبلیغاتی مخرب بیشتری را تأمین مالی می‌کند. محققان همچنین استفاده از زیرساخت‌های نقدی مبتنی بر HTML5 را مشاهده کردند، تاکتیکی که قبلاً با خوشه‌های تهدیدی مانند SlopAds، Low5 و BADBOX 2.0 مرتبط بود.

در اوج خود، زیرساخت Trapdoor تقریباً ۶۵۹ میلیون درخواست پیشنهاد در روز ایجاد می‌کرد. برنامه‌های مرتبط با این عملیات بیش از ۲۴ میلیون دانلود داشتند که اکثر ترافیک آن از ایالات متحده سرچشمه می‌گرفت و بیش از سه چهارم فعالیت این کمپین را تشکیل می‌داد.

فعال‌سازی انتخابی به جلوگیری از شناسایی کمک می‌کند

مهاجمان پشت پرده‌ی Trapdoor از ابزارهای انتساب نصب‌شده سوءاستفاده کردند، فناوری‌هایی که معمولاً توسط بازاریابان قانونی برای ردیابی نحوه‌ی کشف برنامه‌ها توسط کاربران استفاده می‌شوند. با دستکاری این سیستم‌ها، عاملان تهدید اطمینان حاصل کردند که قابلیت‌های مخرب فقط برای کاربرانی که از طریق کمپین‌های تبلیغاتی تحت کنترل مهاجم به دست آمده‌اند، فعال می‌شوند.

این مکانیسم فعال‌سازی انتخابی، تلاش‌های شناسایی را به طور قابل توجهی پیچیده می‌کرد. کاربرانی که برنامه‌ها را مستقیماً از فروشگاه گوگل پلی دانلود می‌کردند یا آنها را از طریق روش‌های جانبی نصب می‌کردند، اغلب با رفتار مخرب مواجه نمی‌شدند. در عوض، این بدافزار تنها پس از تعامل قربانیان با تبلیغات فریبنده یا پیام‌های به‌روزرسانی جعلی که از طریق این کمپین ارائه می‌شد، فعال می‌شد.

برنامه‌های کاربردی اولیه، اعلان‌های پاپ‌آپ جعلی را نمایش می‌دادند که برای تقلید از هشدارهای به‌روزرسانی نرم‌افزار طراحی شده بودند و کاربران را متقاعد می‌کردند که بدافزار مرحله دوم مسئول عملیات کلاهبرداری تبلیغاتی را نصب کنند.

برای جلوگیری بیشتر از تحلیل و بررسی‌های امنیتی، Trapdoor از چندین تکنیک ضدتحلیل و مبهم‌سازی استفاده کرد. این عملیات اغلب SDKهای قانونی را جعل می‌کرد و اجزای مخرب را در نرم‌افزارهای کاربردی دیگر ترکیب می‌کرد و شناسایی زیرساخت را برای محققان و سیستم‌های امنیتی خودکار دشوارتر می‌کرد.

گوگل عملیات را مختل می‌کند اما چشم‌انداز تهدید در حال تکامل است

پس از افشای مسئولانه توسط محققان، گوگل برنامه‌های مخرب شناسایی‌شده را از فروشگاه گوگل پلی حذف کرد و عملاً زیرساخت این کمپین را مختل کرد.

عملیات Trapdoor نشان می‌دهد که چگونه مجرمان سایبری همچنان از فناوری‌های مشروع، از جمله پلتفرم‌های انتساب و اکوسیستم‌های تبلیغاتی، برای ایجاد شبکه‌های کلاهبرداری مقیاس‌پذیر و مقاوم استفاده می‌کنند. با ترکیب برنامه‌های کاربردی، WebViewهای پنهان، دامنه‌های نقدی HTML5 و استراتژی‌های فعال‌سازی انتخابی، بازیگران پشت این کمپین یک چارچوب بسیار تطبیق‌پذیر ایجاد کردند که قادر به پشتیبانی از تبلیغات مخرب و کلاهبرداری تبلیغاتی در مقیاس بزرگ است.

محققان تأکید کردند که عملیاتی مانند Trapdoor، ماهیت به سرعت در حال تحول تهدیدات موبایل را برجسته می‌کند، جایی که کلاهبرداران به طور فزاینده‌ای به مخفی‌کاری، تحویل مرحله‌ای بار داده و نرم‌افزارهای به ظاهر مشروع برای دور زدن مراحل تشخیص و حفظ خطوط لوله کسب درآمد بلندمدت متکی هستند.