Trapdoor Ad Fraud

通过Mezo在移动恶意软件

翻译为：

网络安全研究人员发现了一个名为“陷阱门”（Trapdoor）的复杂广告欺诈和恶意广告活动，该活动专门针对安卓用户，通过大规模的恶意应用程序网络和攻击者控制的基础设施进行攻击。此次活动涉及455个恶意安卓应用程序和183个命令与控制（C2）域名，构建了一个旨在支持多阶段欺诈活动的庞大生态系统。

攻击始于用户在不知情的情况下安装攻击者控制的应用程序，这些应用程序通常伪装成无害的实用工具，例如 PDF 阅读器、手机清理器或设备优化应用。这些看似合法的应用程序随后会发起恶意广告活动，诱使受害者下载其他恶意软件。

这些二级应用程序是欺诈行动的核心。一旦安装，它们就会静默启动隐藏的 WebView，连接到攻击者操控的 HTML5 域名，并在后台持续请求广告。这些应用程序还能够自动进行触摸欺诈，在用户不知情的情况下生成虚假的广告互动。

Trapdoor 的一个关键特征是其自我维持的商业模式。一个看似合法的应用安装就能发展成一个持续的盈利循环，为进一步的恶意广告活动提供资金。研究人员还观察到其使用了基于 HTML5 的提现基础设施，这种策略此前曾与 SlopAds、Low5 和 BADBOX 2.0 等威胁集群相关联。

在高峰时期，Trapdoor 基础设施每天产生约 6.59 亿次竞价请求。与该行动相关的应用程序累计下载量超过 2400 万次，其中大部分流量来自美国，占该行动总流量的四分之三以上。

Trapdoor 背后的攻击者滥用了安装归因工具，这些技术通常被合法营销人员用于追踪用户如何发现应用程序。通过操纵这些系统，攻击者确保恶意功能仅对通过其控制的广告活动获取的用户激活。

这种选择性激活机制大大增加了检测难度。直接从 Google Play 商店下载应用或通过侧载方式安装应用的用户通常不会遇到恶意行为。相反，只有当受害者与通过该活动推送的欺骗性广告或虚假更新提示互动后，恶意代码才会激活。

最初的实用程序应用程序会显示欺诈性的弹出通知，旨在模仿软件更新警报，诱骗用户安装负责广告欺诈操作的第二阶段恶意软件。

为了进一步规避分析和安全审查，Trapdoor采用了多种反分析和混淆技术。该组织经常冒充合法SDK，并将恶意组件混入原本功能正常的软件中，使得研究人员和自动化安全系统更难识别其基础设施。

在研究人员负责任地披露之后，谷歌从 Google Play 商店中删除了已识别的恶意应用程序，有效地破坏了该活动的架构。

“陷阱门”行动表明，网络犯罪分子如何持续利用合法技术（包括归因平台和广告生态系统）构建可扩展且具有强大韧性的欺诈网络。通过结合实用型应用程序、隐藏的 WebView、HTML5 提现域名和选择性激活策略，该行动的幕后黑手建立了一个高度适应性的框架，能够同时支持恶意广告和大规模广告欺诈。

研究人员强调，像 Trapdoor 这样的行动凸显了移动威胁的快速演变，诈骗分子越来越依赖隐蔽性、分阶段的有效载荷交付和看似合法的软件来绕过检测并维持长期的盈利渠道。

搜索