Trapdoor Ad Fraud
חוקרי אבטחת סייבר חשפו מבצע מתוחכם של הונאת פרסום ופרסום זדוני המכונה Trapdoor, המכוון ספציפית למשתמשי אנדרואיד באמצעות רשת רחבת היקף של אפליקציות זדוניות ותשתיות הנשלטות על ידי תוקפים. הקמפיין כלל 455 אפליקציות אנדרואיד זדוניות ו-183 דומיינים של פיקוד ובקרה (C2), ויצר מערכת אקולוגית נרחבת שנועדה לתמוך בפעילויות הונאה רב-שלביות.
הפעולה מתחילה כאשר משתמשים מתקינים, מבלי דעת, אפליקציות הנשלטות על ידי תוקפים, שבדרך כלל מחופשות לכלי שירות לא מזיקים כמו קוראי PDF, מכשירי ניקוי לטלפונים או אפליקציות אופטימיזציה של מכשירים. לאחר מכן, אפליקציות אלו, שנראות לגיטימיות, יוזמות קמפיינים של פרסום זדוני, אשר לוחצות על הקורבנות להוריד תוכנות זדוניות נוספות.
תוכן העניינים
שרשרת הדבקה רב-שלבית מניעה הונאות פרסום נסתרות
האפליקציות בשלב המשני משמשות כליבה של מבצע ההונאה. לאחר ההתקנה, הן מפעילות בשקט תצוגות אינטרנט נסתרות, מתחברות לדומיינים של HTML5 המופעלים על ידי התוקפים, ומבקשות באופן רציף פרסומות ברקע. אפליקציות אלו מסוגלות גם לבצע הונאות מגע אוטומטיות, ולייצר אינטראקציות מזויפות עם פרסומות ללא ידיעת המשתמש.
מאפיין מרכזי של Trapdoor הוא מודל העסקי העצמאי שלה. התקנה אחת של אפליקציה שנראית לגיטימית יכולה להתפתח למחזור יצירת הכנסות מתמשך שמממן קמפיינים נוספים של פרסום זדוני. החוקרים גם הבחינו בשימוש בתשתית מזומנים מבוססת HTML5, טקטיקה שקושרת בעבר לאשכולות איומים כמו SlopAds, Low5 ו-BADBOX 2.0.
בשיאה, תשתית Trapdoor ייצרה כ-659 מיליון בקשות הצעות מחיר ביום. אפליקציות הקשורות לפעולה צברו יותר מ-24 מיליון הורדות, כאשר רוב התעבורה הגיעה מארצות הברית, המהוות למעלה משלושה רבעים מפעילות הקמפיין.
הפעלה סלקטיבית מסייעת להתחמק מגילוי
התוקפים שמאחורי Trapdoor ניצלו לרעה כלי ייחוס להתקנות, טכנולוגיות הנמצאות בשימוש נפוץ על ידי משווקים לגיטימיים כדי לעקוב אחר האופן שבו משתמשים מגלים אפליקציות. על ידי מניפולציה של מערכות אלו, גורמי האיום הבטיחו שפונקציונליות זדונית תופעל רק עבור משתמשים שהושגו באמצעות קמפיינים פרסומיים הנשלטים על ידי התוקף.
מנגנון הפעלה סלקטיבי זה סיבך משמעותית את מאמצי הגילוי. משתמשים שהורידו את האפליקציות ישירות מחנות Google Play או התקינו אותן באמצעות שיטות טעינה צדדית לרוב לא נתקלו בהתנהגות זדונית. במקום זאת, המטען הופעל רק לאחר שהקורבנות קיימו אינטראקציה עם פרסומות מטעות או הנחיות עדכון מזויפות שהוצגו דרך הקמפיין.
יישומי השירות הראשוניים הציגו התראות קופצות הונאה שנועדו לחקות התראות על עדכוני תוכנה, ולשכנע משתמשים להתקין את התוכנה הזדונית בשלב השני האחראית לפעולות הונאת הפרסום.
כדי להימנע עוד יותר מניתוח ובדיקה ביטחונית, Trapdoor השתמשה בטכניקות מרובות של אנטי-ניתוח והערפול. הפעולה התחזתה לעתים קרובות ל-SDK לגיטימיים ושילבה רכיבים זדוניים לתוך תוכנה תפקודית אחרת, מה שהקשה על זיהוי התשתית עבור חוקרים ומערכות אבטחה אוטומטיות.
גוגל משבשת את הפעילות אך נוף האיומים מתפתח
בעקבות גילוי נאות של חוקרים, גוגל הסירה את האפליקציות הזדוניות שזוהו מחנות Google Play, ובכך שיבשה למעשה את התשתית של הקמפיין.
מבצע Trapdoor מדגים כיצד פושעי סייבר ממשיכים להשתמש בטכנולוגיות לגיטימיות, כולל פלטפורמות ייחוס ומערכות אקולוגיות של פרסום, כדי ליצור רשתות הונאה גמישות וניתנות להרחבה. על ידי שילוב של אפליקציות תועלתניות, WebViews נסתרות, דומיינים של מזומנים ב-HTML5 ואסטרטגיות הפעלה סלקטיביות, הגורמים שעמדו מאחורי הקמפיין יצרו מסגרת אדפטיבית ביותר המסוגלת לתמוך הן בפרסום זדוני והן בהונאות פרסום בקנה מידה גדול.
חוקרים הדגישו כי פעולות כמו Trapdoor מדגישות את האופי המתפתח במהירות של איומי מובייל, שבהם נוכלים מסתמכים יותר ויותר על פתרונות חשאיים, אספקת מטען מדורגת ותוכנות שנראות לגיטימיות כדי לעקוף את הזיהוי ולתחזק צינורות מונטיזציה ארוכי טווח.
