Trapdoor Ad Fraud
Kiberbiztonsági kutatók lelepleztek egy kifinomult, Trapdoor néven ismert hirdetési csalást és rosszindulatú hirdetéseket elkövető műveletet, amely kifejezetten az Android-felhasználókat célozza meg rosszindulatú alkalmazások és támadók által irányított infrastruktúra nagyméretű hálózatán keresztül. A kampány 455 rosszindulatú Android-alkalmazást és 183 parancs- és ellenőrzési (C2) tartományt foglalt magában, egy kiterjedt ökoszisztémát létrehozva, amely a többlépcsős csalási tevékenységek támogatására szolgál.
A művelet akkor kezdődik, amikor a felhasználók tudtukon kívül támadók által ellenőrzött alkalmazásokat telepítenek, amelyeket általában ártalmatlan segédprogramoknak, például PDF-olvasóknak, telefontisztítóknak vagy eszközoptimalizáló alkalmazásoknak álcáznak. Ezek a látszólag legitim alkalmazások ezután rosszindulatú hirdetési kampányokat indítanak, amelyek további rosszindulatú szoftverek letöltésére kényszerítik az áldozatokat.
Tartalomjegyzék
Többlépcsős fertőzési lánc rejtett hirdetési csalásokat eredményez
A másodlagos szintű alkalmazások a csalási művelet magját alkotják. Telepítésük után csendben elindítanak rejtett WebView-ket, csatlakoznak a támadók által üzemeltetett HTML5-tartományokhoz, és folyamatosan hirdetéseket kérnek a háttérben. Ezek az alkalmazások képesek automatizált érintéses csalásra is, hamis hirdetési interakciókat generálva a felhasználó tudta nélkül.
A Trapdoor egyik kulcsfontosságú jellemzője az önfenntartó üzleti modellje. Egyetlen, legitimnek tűnő alkalmazástelepítés folyamatos bevételt generáló ciklussá fejlődhet, amely további rosszindulatú hirdetési kampányokat finanszíroz. A kutatók megfigyelték a HTML5-alapú kifizetési infrastruktúra használatát is, ezt a taktikát korábban olyan fenyegetéscsoportokhoz kötötték, mint a SlopAds, a Low5 és a BADBOX 2.0.
Csúcspontján a Trapdoor infrastruktúra naponta körülbelül 659 millió ajánlatkérést generált. A művelethez kapcsolódó alkalmazások több mint 24 millió letöltést halmoztak fel, a forgalom nagy része az Egyesült Államokból származott, ami a kampány tevékenységének több mint háromnegyedét tette ki.
A szelektív aktiválás segít elkerülni az észlelést
A Trapdoor mögött álló támadók visszaéltek a telepítési attribúciós eszközökkel, olyan technológiákkal, amelyeket a legitim marketingesek gyakran használnak az alkalmazások felhasználók általi felfedezésének nyomon követésére. Ezen rendszerek manipulálásával a kiberfenyegetők biztosították, hogy a rosszindulatú funkciók csak azoknál a felhasználóknál aktiválódjanak, akiket a támadók irányítottak hirdetési kampányokon keresztül szereztek meg.
Ez a szelektív aktiválási mechanizmus jelentősen megnehezítette az észlelési erőfeszítéseket. Azok a felhasználók, akik közvetlenül a Google Play Áruházból töltötték le az alkalmazásokat, vagy oldalirányú letöltéssel telepítették azokat, gyakran nem tapasztaltak rosszindulatú viselkedést. Ehelyett a hasznos tartalom csak azután aktiválódott, hogy az áldozatok megtévesztő hirdetésekkel vagy a kampányon keresztül megjelenített hamis frissítési utasításokkal léptek kapcsolatba.
A kezdeti segédprogramok csalárd felugró értesítéseket jelenítettek meg, amelyek a szoftverfrissítési riasztásokat utánozták, és rávették a felhasználókat a hirdetési csalásokért felelős második fokozatú rosszindulatú program telepítésére.
Az elemzés és a biztonsági ellenőrzés további elkerülése érdekében a Trapdoor számos anti-analízis és obfuszkálási technikát alkalmazott. A művelet gyakran legitim SDK-kat utánozott, és rosszindulatú komponenseket kevert egyébként működő szoftverekbe, ami megnehezítette az infrastruktúra azonosítását a kutatók és az automatizált biztonsági rendszerek számára.
A Google megzavarja a műveletet, de a fenyegetettségi környezet folyamatosan változik
A kutatók felelősségteljes tájékoztatását követően a Google eltávolította az azonosított rosszindulatú alkalmazásokat a Google Play Áruházból, ezzel gyakorlatilag megzavarva a kampány infrastruktúráját.
A Trapdoor művelet azt mutatja be, hogy a kiberbűnözők hogyan használják továbbra is fegyverként a legitim technológiákat, beleértve az attribúciós platformokat és a hirdetési ökoszisztémákat, hogy skálázható és ellenálló csalási hálózatokat hozzanak létre. A segédprogram-témájú alkalmazások, a rejtett WebView-k, a HTML5 kifizetési domainek és a szelektív aktiválási stratégiák kombinálásával a kampány mögött álló szereplők egy rendkívül adaptív keretrendszert hoztak létre, amely képes mind a rosszindulatú hirdetések, mind a nagyszabású hirdetési csalások támogatására.
A kutatók hangsúlyozták, hogy az olyan műveletek, mint a Trapdoor, rávilágítanak a mobilfenyegetések gyorsan fejlődő természetére, ahol a csalók egyre inkább a lopakodásra, a szakaszos hasznos adattovábbításra és a legitimnek tűnő szoftverekre támaszkodnak az észlelés megkerülése és a hosszú távú bevételszerzési folyamatok fenntartása érdekében.
