Trapdoor Ad Fraud
Studiuesit e sigurisë kibernetike kanë zbuluar një operacion të sofistikuar mashtrimi me reklama dhe reklamash të njohura si Trapdoor, i cili synon posaçërisht përdoruesit e Android përmes një rrjeti në shkallë të gjerë aplikacionesh keqdashëse dhe infrastrukturës së kontrolluar nga sulmuesit. Fushata përfshinte 455 aplikacione keqdashëse Android dhe 183 domene Command-and-Control (C2), duke krijuar një ekosistem të gjerë të projektuar për të mbështetur aktivitete mashtrimi shumëfazëshe.
Operacioni fillon kur përdoruesit pa e ditur instalojnë aplikacione të kontrolluara nga sulmuesit, zakonisht të maskuara si mjete të padëmshme, siç janë lexuesit PDF, pastruesit e telefonave ose aplikacionet e optimizimit të pajisjeve. Këto aplikacione në dukje legjitime më pas fillojnë fushata reklamimi keqdashës që i detyrojnë viktimat të shkarkojnë softuerë shtesë keqdashës.
Tabela e Përmbajtjes
Zinxhiri i infeksionit shumëfazor nxit mashtrimin e fshehur të reklamave
Aplikacionet e fazës dytësore shërbejnë si thelbi i operacionit të mashtrimit. Pasi instalohen, ato lëshojnë në heshtje WebViews të fshehura, lidhen me domenet HTML5 të operuara nga sulmuesit dhe kërkojnë vazhdimisht reklama në sfond. Këto aplikacione janë gjithashtu të afta për mashtrim automatik me prekje, duke gjeneruar ndërveprime të rreme me reklama pa dijeninë e përdoruesit.
Një karakteristikë kyçe e Trapdoor është modeli i tij i biznesit i vetëmbështetur. Një instalim i vetëm aplikacioni që duket legjitim mund të evoluojë në një cikël të vazhdueshëm gjenerimi të ardhurash që financon fushata të mëtejshme reklamimi keqdashës. Studiuesit gjithashtu vunë re përdorimin e infrastrukturës së tërheqjes së parave të gatshme të bazuar në HTML5, një taktikë e lidhur më parë me grupe kërcënimesh si SlopAds, Low5 dhe BADBOX 2.0.
Në kulmin e saj, infrastruktura Trapdoor gjeneroi afërsisht 659 milionë kërkesa për oferta në ditë. Aplikacionet e lidhura me operacionin grumbulluan më shumë se 24 milionë shkarkime, me pjesën më të madhe të trafikut që vinte nga Shtetet e Bashkuara, duke përbërë mbi tre të katërtat e aktivitetit të fushatës.
Aktivizimi selektiv ndihmon në shmangien e zbulimit
Sulmuesit që fshiheshin pas Trapdoor abuzuan me mjetet e atribuimit të instalimit, teknologji që përdoren zakonisht nga tregtarët legjitimë për të ndjekur se si përdoruesit zbulojnë aplikacionet. Duke manipuluar këto sisteme, aktorët kërcënues siguruan që funksionaliteti dashakeq të aktivizohej vetëm për përdoruesit e fituar përmes fushatave reklamuese të kontrolluara nga sulmuesi.
Ky mekanizëm selektiv aktivizimi i ndërlikoi ndjeshëm përpjekjet e zbulimit. Përdoruesit që shkarkonin aplikacionet direkt nga Google Play Store ose i instalonin ato përmes metodave të ngarkimit anësor shpesh nuk hasnin sjellje dashakeqe. Në vend të kësaj, ngarkesa aktivizohej vetëm pasi viktimat ndërvepronin me reklama mashtruese ose kërkesa të rreme për përditësim të dërguara përmes fushatës.
Aplikacionet fillestare të shërbimeve shfaqnin njoftime mashtruese pop-up të dizajnuara për të imituar alarmet e përditësimit të softuerit, duke i bindur përdoruesit të instalonin malware-in e fazës së dytë përgjegjës për operacionet e mashtrimit me reklamat.
Për të shmangur më tej analizën dhe shqyrtimin e sigurisë, Trapdoor përdori teknika të shumta kundër analizës dhe errësim-zhurmës. Operacioni shpesh imitonte SDK-të legjitime dhe përziente komponentë keqdashës në softuerë që përndryshe funksiononin, duke e bërë infrastrukturën më të vështirë për t'u identifikuar nga studiuesit dhe sistemet e automatizuara të sigurisë.
Google Ndërpret Operacionin, Por Peizazhi i Kërcënimeve Evoluon
Pas zbulimit të përgjegjshëm nga studiuesit, Google hoqi aplikacionet e identifikuara keqdashëse nga Google Play Store, duke prishur në mënyrë efektive infrastrukturën e fushatës.
Operacioni Trapdoor tregon se si kriminelët kibernetikë vazhdojnë të përdorin teknologjitë legjitime si armë, duke përfshirë platformat e atribuimit dhe ekosistemet e reklamimit, për të krijuar rrjete mashtrimi të shkallëzueshme dhe rezistente. Duke kombinuar aplikacione me temë shërbimesh, WebViews të fshehura, domene të tërheqjes së parave HTML5 dhe strategji selektive të aktivizimit, aktorët pas fushatës krijuan një kornizë shumë adaptive të aftë për të mbështetur si reklamat keqdashëse ashtu edhe mashtrimet me reklama në shkallë të gjerë.
Studiuesit theksuan se operacione si Trapdoor nxjerrin në pah natyrën që evoluon me shpejtësi të kërcënimeve mobile, ku mashtruesit mbështeten gjithnjë e më shumë në fshehtësi, shpërndarje të skeduar të ngarkesës së payload dhe softuer që duket legjitim për të anashkaluar zbulimin dhe për të ruajtur kanalet e monetizimit afatgjatë.
