Pandaraya sa Ad ng Trapdoor
Natuklasan ng mga mananaliksik sa cybersecurity ang isang sopistikadong operasyon ng pandaraya sa ad at malvertising na kilala bilang Trapdoor, na partikular na tinatarget ang mga gumagamit ng Android sa pamamagitan ng isang malawakang network ng mga malisyosong application at imprastraktura na kontrolado ng mga attacker. Ang kampanya ay kinasangkutan ng 455 malisyosong Android app at 183 Command-and-Control (C2) domain, na lumikha ng isang malawak na ecosystem na idinisenyo upang suportahan ang mga aktibidad ng pandaraya sa maraming yugto.
Nagsisimula ang operasyon kapag hindi namamalayang nag-i-install ang mga user ng mga attacker-controlled application, na karaniwang nagkukunwaring mga hindi nakakapinsalang utility tool tulad ng mga PDF reader, phone cleaner, o device optimization app. Ang mga tila lehitimong application na ito ay nagsisimula ng mga kampanya para sa malvertising na pumipilit sa mga biktima na mag-download ng karagdagang malisyosong software.
Talaan ng mga Nilalaman
Ang Multi-Stage Infection Chain ay Nagtutulak sa Nakatagong Pandaraya sa Ad
Ang mga secondary-stage na application ang nagsisilbing core ng operasyon ng pandaraya. Kapag na-install na, tahimik silang naglulunsad ng mga nakatagong WebView, kumokonekta sa mga HTML5 domain na pinapatakbo ng mga attacker, at patuloy na humihiling ng mga advertisement sa background. Ang mga app na ito ay may kakayahang awtomatikong mag-touch fraud, na lumilikha ng mga pekeng interaksyon sa ad nang hindi nalalaman ng user.
Isang mahalagang katangian ng Trapdoor ay ang modelo ng negosyo nito na sumusuporta sa sarili. Ang isang lehitimong pag-install ng app ay maaaring umunlad tungo sa isang patuloy na siklo ng pagbuo ng kita na nagpopondo sa mga karagdagang kampanya sa malvertising. Naobserbahan din ng mga mananaliksik ang paggamit ng imprastraktura ng cashout na nakabatay sa HTML5, isang taktika na dating nauugnay sa mga kumpol ng banta tulad ng SlopAds, Low5, at BADBOX 2.0.
Sa tugatog nito, ang imprastraktura ng Trapdoor ay nakabuo ng humigit-kumulang 659 milyong kahilingan sa bid bawat araw. Ang mga aplikasyon na konektado sa operasyon ay nakaipon ng mahigit 24 milyong download, kung saan ang karamihan ng trapiko ay nagmula sa Estados Unidos, na bumubuo sa mahigit tatlong-kapat ng aktibidad ng kampanya.
Ang Selective Activation ay Nakakatulong sa Pag-iwas sa Pagtuklas
Inabuso ng mga umaatake sa likod ng Trapdoor ang mga install attribution tool, mga teknolohiyang karaniwang ginagamit ng mga lehitimong marketer upang subaybayan kung paano natutuklasan ng mga user ang mga application. Sa pamamagitan ng pagmamanipula sa mga sistemang ito, tiniyak ng mga aktor ng banta na ang malisyosong functionality ay maa-activate lamang para sa mga user na nakuha sa pamamagitan ng mga kampanya sa advertising na kontrolado ng mga umaatake.
Ang mekanismong ito ng pumipiling pag-activate ay lubos na nagpahirap sa mga pagsisikap sa pag-detect. Ang mga user na direktang nag-download ng mga application mula sa Google Play Store o nag-install ng mga ito sa pamamagitan ng mga pamamaraan ng sideloading ay kadalasang hindi nakakaranas ng malisyosong pag-uugali. Sa halip, ang payload ay nag-a-activate lamang pagkatapos makipag-ugnayan ang mga biktima sa mga mapanlinlang na advertisement o pekeng mga prompt ng pag-update na inihahatid sa pamamagitan ng kampanya.
Ang mga unang utility application ay nagpakita ng mga mapanlinlang na pop-up notification na idinisenyo upang gayahin ang mga alerto sa pag-update ng software, na nakakumbinsi sa mga user na i-install ang second-stage malware na responsable para sa mga operasyon ng pandaraya sa ad.
Upang higit pang maiwasan ang pagsusuri at pagsisiyasat sa seguridad, gumamit ang Trapdoor ng maraming pamamaraan laban sa pagsusuri at pagpapalihis. Madalas na ginagaya ng operasyon ang mga lehitimong SDK at pinagsasama ang mga malisyosong bahagi sa mga gumaganang software, na nagpapahirap sa mga mananaliksik at mga automated security system na matukoy ang imprastraktura.
Ginugulo ng Google ang Operasyon ngunit Nagbabago ang Tanawin ng Banta
Kasunod ng responsableng pagsisiwalat ng mga mananaliksik, inalis ng Google ang mga natukoy na malisyosong application mula sa Google Play Store, na epektibong nakagambala sa imprastraktura ng kampanya.
Ipinapakita ng operasyon ng Trapdoor kung paano patuloy na ginagamit ng mga cybercriminal ang mga lehitimong teknolohiya, kabilang ang mga attribution platform at mga ecosystem ng advertising, upang lumikha ng mga scalable at resilient fraud network. Sa pamamagitan ng pagsasama-sama ng mga utility-themed app, mga nakatagong WebView, mga HTML5 cashout domain, at mga piling estratehiya sa pag-activate, ang mga aktor sa likod ng kampanya ay nagtatag ng isang lubos na adaptive na balangkas na may kakayahang suportahan ang parehong malvertising at malawakang pandaraya sa ad.
Binigyang-diin ng mga mananaliksik na ang mga operasyon tulad ng Trapdoor ay nagbibigay-diin sa mabilis na nagbabagong katangian ng mga banta sa mobile, kung saan ang mga manloloko ay lalong umaasa sa stealth, staged payload delivery, at lehitimong software upang malampasan ang pagtuklas at mapanatili ang mga pangmatagalang pipeline ng monetization.
