Trapdoor Ad Fraud
Истраживачи сајбер безбедности открили су софистицирану операцију преваре огласима и злонамерног оглашавања познату као Trapdoor, која циља кориснике Андроида путем велике мреже злонамерних апликација и инфраструктуре коју контролишу нападачи. Кампања је обухватила 455 злонамерних Андроид апликација и 183 домена команде и контроле (C2), стварајући опсежан екосистем дизајниран да подржи вишестепене активности преваре.
Операција почиње када корисници несвесно инсталирају апликације које контролишу нападачи, обично прерушене у безопасне алате као што су читачи PDF-ова, програми за чишћење телефона или апликације за оптимизацију уређаја. Ове наизглед легитимне апликације затим покрећу кампање злонамерног оглашавања које врше притисак на жртве да преузму додатни злонамерни софтвер.
Преглед садржаја
Вишестепени ланац инфекције покреће скривене преваре са огласима
Апликације секундарне фазе служе као језгро операције преваре. Једном инсталиране, оне тихо покрећу скривене WebView-ове, повезују се са HTML5 доменима којима управљају нападачи и континуирано захтевају огласе у позадини. Ове апликације су такође способне за аутоматизоване преваре додиром, генеришући лажне интеракције са огласима без знања корисника.
Кључна карактеристика Трапдора је његов самоодржив пословни модел. Једна инсталација апликације која делује легитимно може се развити у континуирани циклус генерисања прихода који финансира даље кампање злонамерног оглашавања. Истраживачи су такође приметили употребу инфраструктуре за исплату готовине засноване на HTML5, тактику која је раније била повезана са кластерима претњи као што су SlopAds, Low5 и BADBOX 2.0.
На свом врхунцу, инфраструктура Trapdoor-а генерисала је приближно 659 милиона захтева за понуду дневно. Апликације повезане са операцијом акумулирале су више од 24 милиона преузимања, при чему је већина саобраћаја потицала из Сједињених Држава, што је чинило преко три четвртине активности кампање.
Селективна активација помаже у избегавању откривања
Нападачи који стоје иза платформе Trapdoor злоупотребили су алате за атрибуцију инсталација, технологије које обично користе легитимни маркетиншки стручњаци за праћење начина на који корисници откривају апликације. Манипулисањем ових система, актери претње су осигурали да се злонамерна функционалност активира само за кориснике стечене путем рекламних кампања које контролишу нападачи.
Овај механизам селективне активације значајно је компликовао напоре за откривање. Корисници који су преузимали апликације директно из Google Play продавнице или их инсталирали путем метода бочног учитавања често нису наилазили на злонамерно понашање. Уместо тога, корисни терет се активирао тек након што су жртве интераговале са обмањујућим огласима или лажним упитима за ажурирање испорученим путем кампање.
Првобитне услужне апликације приказивале су лажна искачућа обавештења дизајнирана да имитирају упозорења о ажурирањима софтвера, убеђујући кориснике да инсталирају злонамерни софтвер друге фазе одговоран за операције преваре са огласима.
Да би додатно избегао анализу и безбедносну проверу, Trapdoor је користио вишеструке технике анти-анализе и замагљивања. Операција је често представљала легитимне SDK-ове и мешала злонамерне компоненте у иначе функционалан софтвер, што је инфраструктуру отежало истраживачима и аутоматизованим безбедносним системима да је идентификују.
Гугл омета операције, али се претње мењају
Након одговорног открића од стране истраживача, Гугл је уклонио идентификоване злонамерне апликације из Гугл Плеј продавнице, ефикасно пореметивши инфраструктуру кампање.
Операција „Trapdoor“ показује како сајбер криминалци настављају да користе легитимне технологије као оружје, укључујући платформе за атрибуцију и екосистеме оглашавања, како би створили скалабилне и отпорне мреже за преваре. Комбиновањем апликација са корисном тематиком, скривених WebView-ова, HTML5 домена за исплату и стратегија селективне активације, актери који стоје иза кампање успоставили су високо прилагодљив оквир способан да подржи и злонамерно оглашавање и превару са огласима великих размера.
Истраживачи су нагласили да операције попут Трапдора истичу брзо еволуирајућу природу мобилних претњи, где се преваранти све више ослањају на прикривеност, постепену испоруку корисног терета и софтвер који делује легитимно како би заобишли откривање и одржали дугорочне процесе монетизације.
