Trapdoor Ad Fraud

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், 'ட்ராப்டோர்' (Trapdoor) எனப்படும் ஒரு நுட்பமான விளம்பர மோசடி மற்றும் தீய விளம்பரச் செயல்பாட்டைக் கண்டறிந்துள்ளனர். இது, தீங்கிழைக்கும் செயலிகளின் ஒரு பெரிய அளவிலான வலையமைப்பு மற்றும் தாக்குபவரால் கட்டுப்படுத்தப்படும் உள்கட்டமைப்பு ஆகியவற்றின் மூலம் குறிப்பாக ஆண்ட்ராய்டு பயனர்களைக் குறிவைக்கிறது. இந்தத் தாக்குதலில் 455 தீங்கிழைக்கும் ஆண்ட்ராய்டு செயலிகளும் 183 கட்டளை மற்றும் கட்டுப்பாட்டு (C2) டொமைன்களும் அடங்கியிருந்தன. இது, பல கட்ட மோசடி நடவடிக்கைகளை ஆதரிக்கும் வகையில் வடிவமைக்கப்பட்ட ஒரு விரிவான சூழலமைப்பை உருவாக்கியுள்ளது.

பயனர்கள் தங்களுக்குத் தெரியாமல், தாக்குதல் நடத்துபவர்களால் கட்டுப்படுத்தப்படும் செயலிகளை நிறுவும்போது இந்தச் செயல்பாடு தொடங்குகிறது. இந்தச் செயலிகள் பொதுவாக PDF ரீடர்கள், ஃபோன் கிளீனர்கள் அல்லது சாதன மேம்படுத்தல் செயலிகள் போன்ற பாதிப்பில்லாத பயன்பாட்டுக் கருவிகளாக மாறுவேடமிடப்பட்டிருக்கும். சட்டப்பூர்வமானவை போலத் தோற்றமளிக்கும் இந்தச் செயலிகள், பின்னர் தீங்கிழைக்கும் விளம்பரப் பிரச்சாரங்களைத் தொடங்குகின்றன. அவை பாதிக்கப்பட்டவர்களை மேலும் தீங்கிழைக்கும் மென்பொருளைப் பதிவிறக்கம் செய்ய வற்புறுத்துகின்றன.

பல கட்ட தொற்றுச் சங்கிலி மறைமுக விளம்பர மோசடிக்கு வழிவகுக்கிறது

இரண்டாம் நிலைச் செயலிகள் மோசடி நடவடிக்கையின் மையமாகச் செயல்படுகின்றன. அவை நிறுவப்பட்டவுடன், யாருக்கும் தெரியாமல் மறைக்கப்பட்ட வெப்வியூக்களைத் தொடங்கி, தாக்குபவரால் இயக்கப்படும் HTML5 டொமைன்களுடன் இணைந்து, பின்னணியில் தொடர்ந்து விளம்பரங்களைக் கோருகின்றன. மேலும், இந்தச் செயலிகள் பயனருக்குத் தெரியாமல் போலியான விளம்பர ஊடாடல்களை உருவாக்கும் தானியங்கி தொடு மோசடி செய்யும் திறனையும் கொண்டுள்ளன.

ட்ராப்டோரின் ஒரு முக்கிய அம்சம் அதன் சுய-நிலைத்தன்மை கொண்ட வணிக மாதிரியாகும். சட்டப்பூர்வமானது போல் தோற்றமளிக்கும் ஒரு செயலி நிறுவல், மேலும் தீங்கிழைக்கும் விளம்பரப் பிரச்சாரங்களுக்கு நிதியளிக்கும் ஒரு தொடர்ச்சியான வருவாய் ஈட்டும் சுழற்சியாக உருவாக முடியும். ஸ்லாப்ஆட்ஸ், லோ5 மற்றும் பேட்பாக்ஸ் 2.0 போன்ற அச்சுறுத்தல் குழுக்களுடன் முன்னர் தொடர்புடைய ஒரு தந்திரமான, HTML5-அடிப்படையிலான பணப் பரிமாற்ற உள்கட்டமைப்பின் பயன்பாட்டையும் ஆராய்ச்சியாளர்கள் கண்டறிந்தனர்.

அதன் உச்சக்கட்டத்தில், ட்ராப்டோர் உள்கட்டமைப்பு ஒரு நாளைக்குச் சுமார் 659 மில்லியன் ஏலக் கோரிக்கைகளை உருவாக்கியது. இந்தச் செயல்பாட்டுடன் இணைக்கப்பட்ட செயலிகள் 24 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்களைக் குவித்தன; இதில் பெரும்பாலான போக்குவரத்து அமெரிக்காவிலிருந்து உருவானது, இது இந்த நடவடிக்கையின் முக்கால் பங்கிற்கும் அதிகமாகும்.

தேர்ந்தெடுக்கப்பட்ட செயல்படுத்தல் கண்டறிதலில் இருந்து தப்பிக்க உதவுகிறது

ட்ராப்டோர் தாக்குதலுக்குப் பின்னால் இருந்தவர்கள், பயனர்கள் செயலிகளை எவ்வாறு கண்டறிகிறார்கள் என்பதைக் கண்காணிக்க, முறையான சந்தைப்படுத்துபவர்களால் பொதுவாகப் பயன்படுத்தப்படும் தொழில்நுட்பங்களான நிறுவல் பண்புக்கூறு கருவிகளைத் தவறாகப் பயன்படுத்தினர். இந்த அமைப்புகளைக் கையாளுவதன் மூலம், தாக்குதல் நடத்துபவர்களின் கட்டுப்பாட்டில் உள்ள விளம்பரப் பிரச்சாரங்கள் வழியாகப் பெறப்பட்ட பயனர்களுக்கு மட்டுமே தீங்கிழைக்கும் செயல்பாடு செயல்படுத்தப்படுவதை அந்த அச்சுறுத்தல் செய்பவர்கள் உறுதிசெய்தனர்.

இந்தத் தேர்ந்தெடுக்கப்பட்ட செயல்படுத்தும் பொறிமுறையானது, கண்டறியும் முயற்சிகளை கணிசமாகச் சிக்கலாக்கியது. கூகுள் பிளே ஸ்டோரிலிருந்து நேரடியாகப் பயன்பாடுகளைப் பதிவிறக்கம் செய்த அல்லது சைடுலோடிங் முறைகள் மூலம் நிறுவிய பயனர்கள் பெரும்பாலும் தீங்கிழைக்கும் நடத்தையை எதிர்கொள்ளவில்லை. மாறாக, அந்தப் பிரச்சாரத்தின் மூலம் வழங்கப்படும் ஏமாற்றும் விளம்பரங்கள் அல்லது போலிப் புதுப்பிப்பு அறிவிப்புகளுடன் பாதிக்கப்பட்டவர்கள் தொடர்பு கொண்ட பின்னரே, அந்தக் கடவுச்சொல் செயல்படுத்தப்பட்டது.

ஆரம்பகாலப் பயன்பாடுகள், மென்பொருள் புதுப்பிப்பு எச்சரிக்கைகளைப் போல தோற்றமளிக்கும் மோசடியான பாப்-அப் அறிவிப்புகளைக் காண்பித்து, விளம்பர மோசடி நடவடிக்கைகளுக்குக் காரணமான இரண்டாம் கட்ட தீம்பொருளை நிறுவுமாறு பயனர்களை நம்பவைத்தன.

பகுப்பாய்வு மற்றும் பாதுகாப்பு ஆய்வுகளை மேலும் தவிர்ப்பதற்காக, ட்ராப்டோர் பல பகுப்பாய்வு-எதிர்ப்பு மற்றும் தெளிவின்மை நுட்பங்களைப் பயன்படுத்தியது. இந்த அமைப்பு அடிக்கடி முறையான SDK-க்களைப் போல நடித்து, தீங்கிழைக்கும் கூறுகளைச் செயல்படும் மென்பொருளில் கலந்தது. இதனால், ஆராய்ச்சியாளர்களும் தானியங்கு பாதுகாப்பு அமைப்புகளும் அதன் உள்கட்டமைப்பைக் கண்டறிவது மிகவும் கடினமாகியது.

கூகிள் செயல்பாட்டை சீர்குலைக்கிறது, ஆனால் அச்சுறுத்தல் சூழல் மாறிவருகிறது.

ஆராய்ச்சியாளர்கள் பொறுப்புடன் தகவல்களை வெளியிட்டதைத் தொடர்ந்து, கூகிள் அடையாளம் காணப்பட்ட தீங்கிழைக்கும் செயலிகளை கூகிள் பிளே ஸ்டோரிலிருந்து நீக்கியது, இதன் மூலம் அந்தப் பிரச்சாரத்தின் உள்கட்டமைப்பைத் திறம்படச் சீர்குலைத்தது.

இணையக் குற்றவாளிகள், உரிமைப் பகிர்வுத் தளங்கள் மற்றும் விளம்பரச் சூழல் அமைப்புகள் உள்ளிட்ட சட்டபூர்வமான தொழில்நுட்பங்களை, விரிவாக்கக்கூடிய மற்றும் மீள்திறன் கொண்ட மோசடி வலையமைப்புகளை உருவாக்குவதற்காக எவ்வாறு தொடர்ந்து ஆயுதமாகப் பயன்படுத்துகிறார்கள் என்பதை 'டிராப்டோர்' நடவடிக்கை நிரூபிக்கிறது. பயன்பாட்டுக் கருப்பொருள் கொண்ட செயலிகள், மறைக்கப்பட்ட வெப்வியூக்கள், HTML5 பணப் பரிமாற்ற டொமைன்கள் மற்றும் தேர்ந்தெடுக்கப்பட்ட செயல்படுத்தும் உத்திகள் ஆகியவற்றை ஒன்றிணைப்பதன் மூலம், இந்த நடவடிக்கையின் பின்னணியில் உள்ளவர்கள், தீய விளம்பரங்கள் மற்றும் பெரிய அளவிலான விளம்பர மோசடி ஆகிய இரண்டையும் ஆதரிக்கக்கூடிய, மிகவும் தகவமைத்துக் கொள்ளக்கூடிய ஒரு கட்டமைப்பை நிறுவியுள்ளனர்.

மொபைல் அச்சுறுத்தல்களின் வேகமாக மாறிவரும் தன்மையை ட்ராப்டோர் போன்ற செயல்பாடுகள் எடுத்துக்காட்டுகின்றன என்றும், இதில் மோசடிக்காரர்கள் கண்டறிதலைத் தவிர்ப்பதற்கும் நீண்டகால வருவாய் ஈட்டும் வழிகளைப் பராமரிப்பதற்கும் இரகசியத்தன்மை, திட்டமிடப்பட்ட தரவு விநியோகம் மற்றும் சட்டப்பூர்வமாகத் தோற்றமளிக்கும் மென்பொருள் ஆகியவற்றை அதிகளவில் சார்ந்துள்ளனர் என்றும் ஆராய்ச்சியாளர்கள் வலியுறுத்தினர்.