Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie Trapdoor Ad Fraud

Trapdoor Ad Fraud

Do Mezo w Mobilne złośliwe oprogramowanie
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli wyrafinowaną operację oszustwa reklamowego i złośliwego marketingu znaną jako Trapdoor, która atakuje użytkowników Androida za pośrednictwem rozległej sieci złośliwych aplikacji i infrastruktury kontrolowanej przez atakujących. Kampania obejmowała 455 złośliwych aplikacji na Androida i 183 domeny Command-and-Control (C2), tworząc rozległy ekosystem zaprojektowany do obsługi wieloetapowych działań oszustw.

Operacja rozpoczyna się, gdy użytkownicy nieświadomie instalują aplikacje kontrolowane przez atakujących, zazwyczaj podszywające się pod nieszkodliwe narzędzia, takie jak czytniki PDF, programy do czyszczenia telefonów czy aplikacje do optymalizacji urządzeń. Te pozornie legalne aplikacje inicjują następnie kampanie reklamowe, które nakłaniają ofiary do pobrania dodatkowego złośliwego oprogramowania.

Wieloetapowy łańcuch infekcji napędza ukryte oszustwa reklamowe

Aplikacje drugiego etapu stanowią rdzeń operacji oszustwa. Po zainstalowaniu, po cichu uruchamiają ukryte WebViews, łączą się z domenami HTML5 obsługiwanymi przez atakujących i nieustannie żądają reklam w tle. Aplikacje te są również zdolne do zautomatyzowanego oszustwa dotykowego, generując fałszywe interakcje z reklamami bez wiedzy użytkownika.

Kluczową cechą Trapdoor jest jego samowystarczalny model biznesowy. Pojedyncza instalacja aplikacji, która wygląda na legalną, może przekształcić się w ciągły cykl generowania przychodów, który finansuje kolejne kampanie malvertisingowe. Badacze zaobserwowali również wykorzystanie infrastruktury wypłat opartej na HTML5, taktyki wcześniej kojarzonej z klastrami zagrożeń, takimi jak SlopAds, Low5 i BADBOX 2.0.

W szczytowym momencie infrastruktura Trapdoor generowała około 659 milionów zapytań ofertowych dziennie. Aplikacje połączone z operacją zgromadziły ponad 24 miliony pobrań, przy czym większość ruchu pochodziła ze Stanów Zjednoczonych, co stanowiło ponad trzy czwarte aktywności kampanii.

Selektywna aktywacja pomaga uniknąć wykrycia

Atakujący stojący za atakiem Trapdoor wykorzystali narzędzia do atrybucji instalacji, technologie powszechnie stosowane przez legalnych marketerów do śledzenia sposobu, w jaki użytkownicy odkrywają aplikacje. Manipulując tymi systemami, sprawcy zagrożeń zadbali o to, aby szkodliwa funkcjonalność była aktywowana tylko dla użytkowników pozyskanych za pośrednictwem kampanii reklamowych kontrolowanych przez atakujących.

Ten selektywny mechanizm aktywacji znacznie utrudniał wykrywanie. Użytkownicy, którzy pobierali aplikacje bezpośrednio ze sklepu Google Play lub instalowali je za pomocą metod sideloadingu, często nie napotykali na złośliwe zachowania. Zamiast tego, ładunek aktywował się dopiero po interakcji ofiar ze zwodniczymi reklamami lub fałszywymi monitami o aktualizację wyświetlanymi w ramach kampanii.

Początkowe aplikacje narzędziowe wyświetlały fałszywe powiadomienia pop-up, które miały imitować alerty o aktualizacjach oprogramowania, przekonując użytkowników do zainstalowania złośliwego oprogramowania drugiego etapu, odpowiedzialnego za oszukańcze operacje reklamowe.

Aby jeszcze bardziej uniknąć analizy i kontroli bezpieczeństwa, Trapdoor zastosował liczne techniki anty-analizy i zaciemniania obrazu. Operacja często podszywała się pod legalne zestawy SDK i łączyła złośliwe komponenty z funkcjonalnym oprogramowaniem, utrudniając badaczom i zautomatyzowanym systemom bezpieczeństwa identyfikację infrastruktury.

Google zakłóca działanie, ale krajobraz zagrożeń ewoluuje

Po odpowiedzialnym ujawnieniu informacji przez badaczy, Google usunęło zidentyfikowane złośliwe aplikacje ze sklepu Google Play, skutecznie zakłócając infrastrukturę kampanii.

Operacja Trapdoor pokazuje, jak cyberprzestępcy nadal wykorzystują legalne technologie, w tym platformy atrybucji i ekosystemy reklamowe, do tworzenia skalowalnych i odpornych sieci oszustw. Łącząc aplikacje o tematyce użytkowej, ukryte WebViews, domeny wypłat HTML5 i selektywne strategie aktywacji, osoby stojące za kampanią stworzyły wysoce adaptacyjne ramy, zdolne do obsługi zarówno złośliwych reklam, jak i oszustw reklamowych na dużą skalę.

Badacze podkreślili, że operacje takie jak Trapdoor świadczą o szybkiej ewolucji zagrożeń mobilnych, w ramach których oszuści coraz częściej stosują ukryte działania, etapowe dostarczanie danych i oprogramowanie wyglądające na legalne, aby ominąć wykrycie i utrzymać długoterminowe kanały monetyzacji.

Popularne

Oszustwo e-mailowe z alertem o niedostarczalności...

Phishing, Spam
Nieoczekiwane wiadomości e-mail należy zawsze traktować z ostrożnością, zwłaszcza gdy stwarzają poczucie pilności lub wymagają podania poufnych informacji. Cyberprzestępcy często maskują wiadomości phishingowe jako legalne powiadomienia od zaufanych dostawców usług, próbując w ten sposób nakłonić odbiorców do ujawnienia danych osobowych. Tak zwane wiadomości e-mail z alertem o dostarczalności...

Najczęściej oglądane

Ładowanie...