Trapdoor Ad Fraud
Výskumníci v oblasti kybernetickej bezpečnosti odhalili sofistikovanú operáciu zameranú na podvodné reklamy a malwaretising známu ako Trapdoor, ktorá sa cielene zameriava na používateľov systému Android prostredníctvom rozsiahlej siete škodlivých aplikácií a infraštruktúry ovládanej útočníkmi. Kampaň zahŕňala 455 škodlivých aplikácií pre Android a 183 domén typu Command-and-Control (C2), čím vytvorila rozsiahly ekosystém určený na podporu viacstupňových podvodných aktivít.
Operácia začína, keď používatelia nevedomky nainštalujú aplikácie ovládané útočníkom, bežne maskované ako neškodné pomocné nástroje, ako sú čítačky PDF, čističe telefónov alebo aplikácie na optimalizáciu zariadení. Tieto zdanlivo legitímne aplikácie potom spúšťajú kampane so škodlivou reklamou, ktoré vyvíjajú nátlak na obete, aby si sťahovali ďalší škodlivý softvér.
Obsah
Viacstupňový reťazec infekcií poháňa skryté reklamné podvody
Aplikácie sekundárnej fázy slúžia ako jadro podvodnej operácie. Po nainštalovaní potichu spúšťajú skryté WebView, pripájajú sa k doménam HTML5 prevádzkovaným útočníkom a neustále na pozadí vyžadujú reklamy. Tieto aplikácie sú tiež schopné automatizovaného dotykového podvodu, čím generujú falošné interakcie s reklamami bez vedomia používateľa.
Kľúčovou charakteristikou platformy Trapdoor je jej sebestačný obchodný model. Jedna inštalácia legitímne vyzerajúcej aplikácie sa môže vyvinúť do nepretržitého cyklu generovania príjmov, ktorý financuje ďalšie kampane so škodlivou reklamou. Výskumníci tiež pozorovali používanie infraštruktúry na výbery peňazí založenej na HTML5, čo je taktika, ktorá sa predtým spájala s klastrami hrozieb, ako sú SlopAds, Low5 a BADBOX 2.0.
V čase svojho vrcholu infraštruktúra Trapdoor generovala približne 659 miliónov žiadostí o ponuky denne. Aplikácie pripojené k operácii nahromadili viac ako 24 miliónov stiahnutí, pričom väčšina prevádzky pochádzala zo Spojených štátov, čo predstavovalo viac ako tri štvrtiny aktivity kampane.
Selektívna aktivácia pomáha vyhnúť sa detekcii
Útočníci stojaci za platformou Trapdoor zneužili nástroje na priradenie inštalácií, technológie bežne používané legitímnymi marketérmi na sledovanie toho, ako používatelia objavujú aplikácie. Manipuláciou týchto systémov útočníci zabezpečili, že škodlivé funkcie sa aktivovali iba pre používateľov získaných prostredníctvom reklamných kampaní kontrolovaných útočníkmi.
Tento mechanizmus selektívnej aktivácie výrazne skomplikoval detekčné úsilie. Používatelia, ktorí si stiahli aplikácie priamo z Obchodu Google Play alebo si ich nainštalovali prostredníctvom metód bočného sťahovania, sa často nestretli so škodlivým správaním. Namiesto toho sa užitočné zaťaženie aktivovalo až po interakcii obetí s klamlivými reklamami alebo falošnými výzvami na aktualizácie zobrazovanými prostredníctvom kampane.
Počiatočné utility zobrazovali podvodné kontextové okná s upozorneniami, ktoré napodobňovali upozornenia na aktualizácie softvéru a presviedčali používateľov, aby si nainštalovali malvér druhej fázy zodpovedný za podvodné operácie s reklamami.
Aby sa Trapdoor ešte viac vyhol analýze a bezpečnostnej kontrole, použil viacero techník proti analýze a zahmlievaniu. Operácia často napodobňovala legitímne SDK a miešala škodlivé komponenty do inak funkčného softvéru, čím sťažovala výskumníkom a automatizovaným bezpečnostným systémom identifikáciu infraštruktúry.
Google narúša prevádzku, ale prostredie hrozieb sa vyvíja
Po zodpovednom zverejnení informácií zo strany výskumníkov spoločnosť Google odstránila identifikované škodlivé aplikácie z Obchodu Google Play, čím efektívne narušila infraštruktúru kampane.
Operácia Trapdoor demonštruje, ako kyberzločinci naďalej zneužívajú legitímne technológie vrátane atribučných platforiem a reklamných ekosystémov ako zbraň na vytváranie škálovateľných a odolných podvodných sietí. Kombináciou aplikácií s úžitkovou tematikou, skrytých WebView, domén HTML5 na výbery a stratégií selektívnej aktivácie vytvorili aktéri stojaci za kampaňou vysoko adaptívny rámec schopný podporovať malwaretising aj rozsiahle reklamné podvody.
Výskumníci zdôraznili, že operácie ako Trapdoor poukazujú na rýchlo sa vyvíjajúcu povahu mobilných hrozieb, kde sa podvodníci čoraz viac spoliehajú na utajenie, postupné doručovanie užitočného zaťaženia a legitímne vyzerajúci softvér, aby obišli detekciu a udržali si dlhodobé monetizačné kanály.
