Trapdoor Ad Fraud
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบปฏิบัติการฉ้อโกงโฆษณาและมัลแวร์ที่ซับซ้อนซึ่งรู้จักกันในชื่อ Trapdoor โดยมุ่งเป้าไปที่ผู้ใช้ Android โดยเฉพาะผ่านเครือข่ายขนาดใหญ่ของแอปพลิเคชันที่เป็นอันตรายและโครงสร้างพื้นฐานที่ผู้โจมตีควบคุม แคมเปญนี้เกี่ยวข้องกับแอป Android ที่เป็นอันตราย 455 แอป และโดเมนควบคุมและสั่งการ (C2) 183 โดเมน สร้างระบบนิเวศขนาดใหญ่ที่ออกแบบมาเพื่อสนับสนุนกิจกรรมฉ้อโกงหลายขั้นตอน
การโจมตีเริ่มต้นเมื่อผู้ใช้ติดตั้งแอปพลิเคชันที่ถูกควบคุมโดยผู้โจมตีโดยไม่รู้ตัว ซึ่งมักปลอมตัวเป็นเครื่องมือยูทิลิตี้ที่ไม่เป็นอันตราย เช่น โปรแกรมอ่านไฟล์ PDF โปรแกรมทำความสะอาดโทรศัพท์ หรือแอปเพิ่มประสิทธิภาพอุปกรณ์ แอปพลิเคชันที่ดูเหมือนถูกต้องตามกฎหมายเหล่านี้จะเริ่มแคมเปญโฆษณาที่เป็นอันตรายซึ่งกดดันให้เหยื่อดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายเพิ่มเติม
สารบัญ
ห่วงโซ่การติดเชื้อหลายขั้นตอนผลักดันให้เกิดการฉ้อโกงโฆษณาแอบแฝง
แอปพลิเคชันในขั้นตอนที่สองทำหน้าที่เป็นแกนหลักของการปฏิบัติการฉ้อโกง เมื่อติดตั้งแล้ว แอปเหล่านี้จะเปิดใช้งาน WebView ที่ซ่อนอยู่โดยไม่ให้ผู้ใช้รู้ตัว เชื่อมต่อกับโดเมน HTML5 ที่ผู้โจมตีเป็นผู้ดำเนินการ และร้องขอโฆษณาอย่างต่อเนื่องในพื้นหลัง แอปเหล่านี้ยังสามารถทำการฉ้อโกงโดยการสัมผัสโดยอัตโนมัติ สร้างการโต้ตอบโฆษณาปลอมโดยที่ผู้ใช้ไม่รู้ตัวได้อีกด้วย
ลักษณะสำคัญอย่างหนึ่งของ Trapdoor คือโมเดลธุรกิจที่ยั่งยืนด้วยตนเอง การติดตั้งแอปที่ดูเหมือนถูกต้องตามกฎหมายเพียงครั้งเดียวสามารถพัฒนาไปสู่รอบการสร้างรายได้ต่อเนื่องที่นำไปใช้ในการดำเนินการแคมเปญโฆษณาที่เป็นอันตรายต่อไป นักวิจัยยังสังเกตเห็นการใช้โครงสร้างพื้นฐานการถอนเงินสดแบบ HTML5 ซึ่งเป็นกลยุทธ์ที่ก่อนหน้านี้เกี่ยวข้องกับกลุ่มภัยคุกคาม เช่น SlopAds, Low5 และ BADBOX 2.0
ในช่วงที่มีการใช้งานสูงสุด โครงสร้างพื้นฐานของ Trapdoor สร้างคำขอประมูลได้ประมาณ 659 ล้านรายการต่อวัน แอปพลิเคชันที่เชื่อมต่อกับการดำเนินงานนี้มียอดดาวน์โหลดมากกว่า 24 ล้านครั้ง โดยปริมาณการใช้งานส่วนใหญ่มาจากสหรัฐอเมริกา คิดเป็นมากกว่าสามในสี่ของกิจกรรมทั้งหมดในแคมเปญ
การเปิดใช้งานแบบเลือกช่วยให้หลีกเลี่ยงการตรวจจับได้
กลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลัง Trapdoor ใช้เครื่องมือติดตามการติดตั้งแอปพลิเคชันในทางที่ผิด ซึ่งเป็นเทคโนโลยีที่นักการตลาดที่ถูกต้องตามกฎหมายมักใช้เพื่อติดตามว่าผู้ใช้ค้นพบแอปพลิเคชันได้อย่างไร โดยการดัดแปลงระบบเหล่านี้ กลุ่มแฮ็กเกอร์จึงมั่นใจได้ว่าฟังก์ชันที่เป็นอันตรายจะทำงานเฉพาะกับผู้ใช้ที่ได้มาจากการโฆษณาที่กลุ่มแฮ็กเกอร์ควบคุมเท่านั้น
กลไกการเปิดใช้งานแบบเลือกเฉพาะนี้ทำให้ความพยายามในการตรวจจับซับซ้อนขึ้นอย่างมาก ผู้ใช้ที่ดาวน์โหลดแอปพลิเคชันโดยตรงจาก Google Play Store หรือติดตั้งผ่านวิธีการ sideloading มักจะไม่พบพฤติกรรมที่เป็นอันตราย แต่เพย์โหลดจะทำงานก็ต่อเมื่อเหยื่อมีปฏิสัมพันธ์กับโฆษณาหลอกลวงหรือข้อความแจ้งเตือนการอัปเดตปลอมที่ส่งมาผ่านแคมเปญเท่านั้น
แอปพลิเคชันยูทิลิตี้ในระยะเริ่มต้นแสดงข้อความแจ้งเตือนแบบป๊อปอัพปลอมที่ออกแบบมาเพื่อเลียนแบบการแจ้งเตือนการอัปเดตซอฟต์แวร์ ทำให้ผู้ใช้เข้าใจผิดและติดตั้งมัลแวร์ในระยะที่สองซึ่งเป็นต้นเหตุของการฉ้อโกงโฆษณา
เพื่อหลีกเลี่ยงการวิเคราะห์และการตรวจสอบด้านความปลอดภัยเพิ่มเติม Trapdoor ได้ใช้เทคนิคการต่อต้านการวิเคราะห์และการปกปิดข้อมูลหลายวิธี การดำเนินงานมักปลอมตัวเป็น SDK ที่ถูกต้องตามกฎหมาย และผสมผสานส่วนประกอบที่เป็นอันตรายเข้ากับซอฟต์แวร์ที่ทำงานได้ตามปกติ ทำให้โครงสร้างพื้นฐานยากต่อการระบุตัวตนสำหรับนักวิจัยและระบบรักษาความปลอดภัยอัตโนมัติ
Google ขัดขวางปฏิบัติการ แต่ภัยคุกคามก็เปลี่ยนแปลงไป
หลังจากนักวิจัยเปิดเผยข้อมูลอย่างมีความรับผิดชอบ Google ได้ลบแอปพลิเคชันที่เป็นอันตรายที่ระบุได้ออกจาก Google Play Store ซึ่งเป็นการทำลายโครงสร้างพื้นฐานของแคมเปญดังกล่าวอย่างมีประสิทธิภาพ
ปฏิบัติการ Trapdoor แสดงให้เห็นว่าอาชญากรไซเบอร์ยังคงใช้เทคโนโลยีที่ถูกกฎหมาย รวมถึงแพลตฟอร์มการระบุแหล่งที่มาและระบบนิเวศการโฆษณา เป็นอาวุธเพื่อสร้างเครือข่ายการฉ้อโกงที่ปรับขนาดได้และมีความยืดหยุ่นสูง โดยการผสมผสานแอปพลิเคชันที่มีธีมยูทิลิตี้ เว็บวิวที่ซ่อนอยู่ โดเมนถอนเงิน HTML5 และกลยุทธ์การเปิดใช้งานแบบเลือกสรร ผู้กระทำการเบื้องหลังแคมเปญนี้ได้สร้างกรอบการทำงานที่ปรับตัวได้สูง ซึ่งสามารถรองรับทั้งการโฆษณาที่เป็นอันตรายและการฉ้อโกงโฆษณาขนาดใหญ่ได้
นักวิจัยเน้นย้ำว่า การปฏิบัติการอย่าง Trapdoor แสดงให้เห็นถึงลักษณะที่เปลี่ยนแปลงอย่างรวดเร็วของภัยคุกคามบนมือถือ ซึ่งผู้ฉ้อโกงพึ่งพาการซ่อนตัว การส่งเพย์โหลดแบบเป็นขั้นตอน และซอฟต์แวร์ที่ดูเหมือนถูกต้องตามกฎหมายมากขึ้นเรื่อยๆ เพื่อหลีกเลี่ยงการตรวจจับและรักษาช่องทางการสร้างรายได้ในระยะยาว
