Trapdoor Ad Fraud
Raziskovalci kibernetske varnosti so odkrili sofisticirano operacijo oglaševanja in zlonamernega oglaševanja, znano kot Trapdoor, ki cilja na uporabnike Androida prek obsežne mreže zlonamernih aplikacij in infrastrukture, ki jo nadzorujejo napadalci. Kampanja je vključevala 455 zlonamernih aplikacij za Android in 183 domen Command-and-Control (C2), s čimer je ustvarila obsežen ekosistem, zasnovan za podporo večstopenjskim goljufijam.
Operacija se začne, ko uporabniki nevede namestijo aplikacije, ki jih nadzorujejo napadalci, običajno prikrite kot neškodljiva uporabna orodja, kot so bralniki PDF-jev, čistilci telefonov ali aplikacije za optimizacijo naprav. Te na videz legitimne aplikacije nato sprožijo kampanje zlonamernega oglaševanja, ki žrtve silijo v prenos dodatne zlonamerne programske opreme.
Kazalo
Večstopenjska veriga okužb poganja skrite oglasne goljufije
Aplikacije sekundarne stopnje služijo kot jedro goljufive operacije. Ko so nameščene, tiho zaženejo skrite spletne poglede (WebView), se povežejo z domenami HTML5, ki jih upravlja napadalec, in v ozadju nenehno zahtevajo oglase. Te aplikacije so sposobne tudi avtomatiziranih goljufij na dotik, ki ustvarjajo lažne interakcije z oglasi brez vednosti uporabnika.
Ključna značilnost platforme Trapdoor je njen samozadostni poslovni model. Ena sama namestitev aplikacije, ki je videti legitimna, se lahko razvije v neprekinjen cikel ustvarjanja prihodkov, ki financira nadaljnje zlonamerne oglaševalske akcije. Raziskovalci so opazili tudi uporabo infrastrukture za izplačilo sredstev, ki temelji na HTML5, taktiko, ki je bila prej povezana z grozdi groženj, kot so SlopAds, Low5 in BADBOX 2.0.
Na svojem vrhuncu je infrastruktura Trapdoor ustvarila približno 659 milijonov zahtev za ponudbe na dan. Aplikacije, povezane z operacijo, so zbrale več kot 24 milijonov prenosov, pri čemer je večina prometa izvirala iz Združenih držav Amerike, kar je predstavljalo več kot tri četrtine aktivnosti kampanje.
Selektivna aktivacija pomaga pri izogibanju zaznavanju
Napadalci, ki stojijo za Trapdoorjem, so zlorabili orodja za atribucijo namestitev, tehnologije, ki jih običajno uporabljajo legitimni tržniki za sledenje, kako uporabniki odkrivajo aplikacije. Z manipulacijo teh sistemov so akterji grožnje zagotovili, da se zlonamerna funkcionalnost aktivira samo za uporabnike, pridobljene prek oglaševalskih kampanj, ki jih nadzorujejo napadalci.
Ta selektivni mehanizem aktivacije je znatno otežil prizadevanja za odkrivanje. Uporabniki, ki so aplikacije prenesli neposredno iz trgovine Google Play ali jih namestili z metodami stranskega nalaganja, pogosto niso naleteli na zlonamerno vedenje. Namesto tega se je koristni tok aktiviral šele potem, ko so žrtve reagirale na zavajajoče oglase ali lažne pozive k posodobitvam, ki so bili poslani prek kampanje.
Začetne uporabne aplikacije so prikazovale goljufiva pojavna obvestila, namenjena posnemanju opozoril o posodobitvah programske opreme, in uporabnike prepričevale, da namestijo zlonamerno programsko opremo druge stopnje, odgovorno za oglaševalske goljufije.
Da bi se še bolj izognili analizi in varnostnemu nadzoru, je Trapdoor uporabil več tehnik proti analizi in zakrivanja. Operacija je pogosto posnemala legitimne SDK-je in mešala zlonamerne komponente v sicer delujočo programsko opremo, zaradi česar je raziskovalcem in avtomatiziranim varnostnim sistemom otežila prepoznavanje infrastrukture.
Google moti delovanje, vendar se grožnja razvija
Po odgovornem razkritju raziskovalcev je Google odstranil identificirane zlonamerne aplikacije iz trgovine Google Play, s čimer je dejansko motil infrastrukturo kampanje.
Operacija Trapdoor prikazuje, kako kibernetski kriminalci še naprej izkoriščajo legitimne tehnologije, vključno s platformami za atribucijo in oglaševalskimi ekosistemi, za ustvarjanje prilagodljivih in odpornih goljufivih omrežij. Z združevanjem aplikacij s tematiko uporabnosti, skritih spletnih pogledov, domen za izplačilo HTML5 in strategij selektivne aktivacije so akterji kampanje vzpostavili zelo prilagodljiv okvir, ki lahko podpira tako zlonamerno oglaševanje kot tudi obsežne oglasne goljufije.
Raziskovalci so poudarili, da operacije, kot je Trapdoor, poudarjajo hitro razvijajočo se naravo mobilnih groženj, kjer se goljufi vse bolj zanašajo na prikritost, postopno dostavo koristnega tovora in programsko opremo, ki je videti legitimna, da bi se izognili odkrivanju in ohranili dolgoročne poti monetizacije.
