Дослідники з кібербезпеки викрили масштабну Android-кампанію Trapdoor, яка поєднувала malvertising, приховане рекламне шахрайство та багаторівневе поширення шкідливого ПЗ. За даними HUMAN, схема охоплювала 455 Android-додатків і 183 домени, а на піку генерувала до 659 мільйонів рекламних bid-запитів щодня.
Дослідники HUMAN Satori викрили нову масштабну Android-операцію Trapdoor, яка поєднала шкідливу рекламу, приховане рекламне шахрайство та багатоетапне зараження пристроїв. Кампанія охопила 455 Android-додатків і 183 домени керування, а на піку активності генерувала до 659 мільйонів рекламних запитів на день.
За словами дослідників Луїзи Абель, Райана Джоя, Жоао Маркеса, Жоао Сантуша та Адама Селла, схема працювала через нібито звичайні utility-додатки. Користувачі встановлювали PDF-переглядачі, cleaner-програми та інші “нешкідливі” інструменти, навіть не підозрюючи, що вони є частиною великої шахрайської мережі.
Після встановлення такі програми запускали malvertising-кампанії та змушували жертв завантажувати інші Android-додатки, які вже виконували основну шкідливу активність. Саме другий етап зараження запускав приховані WebView, відкривав HTML5-домени, контрольовані зловмисниками, та автоматично запитував рекламу.
Фактично заражені смартфони використовувалися як інструмент для прихованого рекламного шахрайства та автоматизованого touch fraud. У HUMAN пояснюють, що вся система була побудована як самофінансований цикл: органічне встановлення одного додатка перетворювалося на джерело прибутку для запуску нових шкідливих рекламних кампаній.
Дослідники також зазначають, що Trapdoor використовував HTML5-домени для виведення трафіку та монетизації. Подібні механізми раніше вже фіксувалися у кампаніях SlopAds , Low5 та BADBOX 2.0.
На піку активності мережа Trapdoor генерувала приблизно 659 мільйонів bid requests щодня. Загалом Android-додатки, пов’язані зі схемою, завантажили понад 24 мільйони разів. Більша частина трафіку надходила зі США, на які припадало понад 75% усієї активності.
Однією з головних особливостей кампанії стало використання інструментів attribution tracking. Зловмисники застосовували легітимне програмне забезпечення для аналізу встановлень, щоб активувати шкідливу поведінку лише для тих користувачів, які переходили через їхні рекламні кампанії.
Через це користувачі, які встановлювали додаток напряму через Google Play або sideload-методами, часто навіть не потрапляли під атаку. Така вибіркова активація допомагала malware уникати аналізу та обходити системи виявлення.
Окрім цього, Trapdoor активно використовував обфускацію та антианаліз. Зловмисники маскували компоненти під легітимні SDK, щоб шкідливий код виглядав як частина звичайного Android-середовища.
Віцепрезидентка HUMAN з threat intelligence Ліндсі Кей заявила, що кампанія фактично об’єднала одразу кілька напрямків: розповсюдження шкідливої реклами, приховану монетизацію через ad fraud та багатоетапне поширення malware.
Після відповідального розкриття інформації Google видалила всі виявлені шкідливі програми з Google Play Store. У компанії заявили, що операцію вдалося нейтралізувати, а користувачів Android додатково захищає Google Play Protect. Повний список програм для Android доступний тут.
Головний директор з інформаційної безпеки HUMAN Гевін Рід назвав Trapdoor ще одним прикладом того, як кіберзлочинці використовують цілком легітимні маркетингові інструменти для приховування шахрайських схем.
За його словами, зловмисники продовжують ускладнювати свої кампанії, комбінуючи utility-додатки, HTML5-домени та механізми вибіркової активації, які дозволяють приховувати шкідливу активність навіть від дослідників безпеки.
