Trapdoor Ad Fraud

行動惡意軟體年Mezo年

翻譯為：

網路安全研究人員發現了一個名為「陷阱門」（Trapdoor）的複雜廣告詐欺和惡意廣告活動，該活動專門針對安卓用戶，透過大規模的惡意應用程式網路和攻擊者控制的基礎設施進行攻擊。這項活動涉及455個惡意安卓應用程式和183個命令與控制（C2）域名，建構了一個旨在支援多階段詐欺活動的龐大生態系統。

攻擊始於用戶在不知情的情況下安裝攻擊者控制的應用程序，這些應用程式通常偽裝成無害的實用工具，例如 PDF 閱讀器、手機清理器或設備優化應用程式。這些看似合法的應用程式隨後會發起惡意廣告活動，誘使受害者下載其他惡意軟體。

這些二級應用程式是詐欺行動的核心。一旦安裝，它們就會靜默啟動隱藏的 WebView，連接到攻擊者操控的 HTML5 域名，並在後台持續要求廣告。這些應用程式還能夠自動進行觸控欺詐，在用戶不知情的情況下產生虛假的廣告互動。

Trapdoor 的一個關鍵特徵是其自我維持的商業模式。一個看似合法的應用程式安裝就能發展成一個持續的獲利循環，為進一步的惡意廣告活動提供資金。研究人員也觀察到其使用了基於 HTML5 的提現基礎設施，這種策略先前曾與 SlopAds、Low5 和 BADBOX 2.0 等威脅集群相關聯。

在高峰時期，Trapdoor 基礎設施每天產生約 6.59 億次競價請求。與該行動相關的應用程式累積下載量超過 2,400 萬次，其中大部分流量來自美國，佔該行動總流量的四分之三以上。

Trapdoor 背後的攻擊者濫用了安裝歸因工具，這些技術通常被合法行銷人員用於追蹤用戶如何發現應用程式。透過操縱這些系統，攻擊者確保惡意功能僅對透過其控制的廣告活動所獲得的使用者啟動。

這種選擇性激活機制大大增加了檢測難度。直接從 Google Play 商店下載應用程式或透過側載方式安裝應用程式的使用者通常不會遇到惡意行為。相反，只有當受害者與透過該活動推送的欺騙性廣告或虛假更新提示互動後，惡意程式碼才會啟動。

最初的實用程式應用程式會顯示欺詐性的彈出通知，旨在模仿軟體更新警報，誘騙用戶安裝負責廣告詐欺操作的第二階段惡意軟體。

為了進一步規避分析和安全審查，Trapdoor採用了多種反分析和混淆技術。該組織經常冒充合法SDK，並將惡意元件混入原本功能正常的軟體中，使得研究人員和自動化安全系統更難識別其基礎設施。

在研究人員負責任地披露之後，谷歌從 Google Play 商店中刪除了已識別的惡意應用程序，有效地破壞了活動的架構。

「陷阱門」行動表明，網路犯罪分子如何持續利用合法技術（包括歸因平台和廣告生態系統）來建立可擴展且具有強大韌性的詐騙網路。透過結合實用型應用程式、隱藏的 WebView、HTML5 提現域名和選擇性啟動策略，該行動的幕後黑手建立了一個高度適應性的框架，能夠同時支援惡意廣告和大規模廣告詐欺。

研究人員強調，像 Trapdoor 這樣的行動凸顯了行動威脅的快速演變，詐騙分子越來越依賴隱蔽性、分階段的有效載荷交付和看似合法的軟體來繞過檢測並維持長期的盈利管道。

搜索