Обнаружена масштабная мошенническая схема Trapdoor: 455 приложений и 24 миллиона загрузок

Согласно информации, опубликованной исследователями, инфраструктура Trapdoor включает 455 вредоносных приложений и 183 домена, которые злоумышленники использовали в качестве командных центров (C2 - серверов управления). Пик активности схемы пришёлся на период, когда ежедневно генерировалось 659 миллионов запросов на показ рекламы. В общей сложности приложения, связанные с этой операцией, пользователи скачали более 24 миллионов раз. При этом схема продолжает развиваться: по словам экспертов, они находят новые приложения и домены даже в процессе подготовки отчёта.

Исследователи из HUMAN описали механизм Trapdoor как многоступенчатый конвейер. Всё начинается с внешне безобидных утилит - например, программ для просмотра PDF-файлов, очистки памяти или управления файлами. Пользователи устанавливают их из магазина приложений, не подозревая об опасности. На этом этапе вредоносное поведение не проявляется: приложение ведёт себя абсолютно легитимно. Однако после установки начинается второй этап - вредоносная реклама.

Приложение показывает рекламные объявления, которые утверждают, что текущая версия устарела или больше не поддерживается. В объявлении есть кнопка, якобы ведущая к обновлению. На деле нажатие приводит к загрузке другого приложения, также принадлежащего злоумышленникам. Именно это второе приложение и выполняет всю грязную работу.

Ключевая особенность Trapdoor - использование инструментов атрибуции установок. Это технология, которую легитимные маркетологи применяют для отслеживания того, как пользователи находят приложения. Злоумышленники встроили в код своих программ обращения к платформе атрибуции. Приложение проверяет, был ли пользователь привлечён через рекламную кампанию злоумышленников, или установил программу органически (то есть самостоятельно нашёл её в магазине). Если установка была органической, вредоносная активность не запускается. Это позволяет обходить внимание исследователей безопасности, которые обычно загружают приложения напрямую и видят только безобидное поведение. Активность включается только у тех пользователей, которые пришли по рекламным ссылкам мошенников.

После активации вредоносной составляющей приложение запускает скрытый компонент WebView - встроенный браузер, который загружает HTML5-сайты, принадлежащие злоумышленникам. WebView настроен так, чтобы работать незаметно для пользователя: он не отображается на экране, но в фоне загружает рекламные объявления. В приложении зашифрованы файлы с координатами касаний, временными задержками и жестами (смахивания, длительные нажатия). Через системный метод dispatchTouchEvent программа эмулирует реалистичные действия человека на экране - клики по рекламным баннерам. Эти клики происходят в автоматическом режиме, имитируя поведение живого пользователя.

Монетизация работает через HTML5-сайты, на которых размещаются рекламные объявления. Такая инфраструктура, как отмечают эксперты, уже встречалась в других мошеннических операциях - SlopAds, Low5 и BADBOX 2.0. Везде использовались игровые или новостные HTML5-сайты как способ вывода денег. Это указывает на то, что злоумышленники активно обмениваются инструментарием или принадлежат к одним и тем же группировкам.

Помимо атрибуции, разработчики Trapdoor применили множество методов защиты от анализа. Вредоносные приложения проверяют, не установлен ли на устройстве рут-доступ, не включён ли режим отладки, не используется ли VPN-соединение. Эти проверки нацелены как раз на исследователей, которые при обратной разработке часто применяют VPN и перехватчики трафика. Кроме того, код упакован с помощью нативного упаковщика, использующего виртуализацию и шифрование строк. Это сильно затрудняет статический анализ. В некоторых вариантах злоумышленники даже маскировали вредоносные классы под легитимные рекламные SDK - библиотеки, которые разработчики используют для интеграции рекламы.

Последствия такой схемы выходят далеко за рамки финансовых потерь рекламодателей. Trapdoor подрывает доверие ко всей экосистеме цифровой рекламы. Рекламодатели платят за несуществующие клики и показы, а честные разработчики приложений теряют доход из-за искажения статистики. Более того, пользователи, скачавшие вредоносные программы, оказываются в уязвимом положении: их устройства могут быть использованы для скрытых операций без их ведома.

На данный момент компания HUMAN уже развернула меры защиты в своём портфеле продуктов для борьбы с рекламным мошенничеством. Клиенты, использующие решения Ad Fraud Defense и Ad Click Defense, защищены от воздействия Trapdoor. Однако злоумышленники продолжают публиковать новые приложения и менять домены, поэтому исследователи призывают к постоянному мониторингу. Операция Trapdoor - яркий пример того, как мошенники адаптируются, превращая инструменты самой экосистемы в оружие против неё.

Domains

• alocalsta.uk
• alockdot.org
• alorivacita.uk
• anialoy.uk
• aradecto.uk
• aterita.uk
• batarip.org
• bicaotile.org
• bleanob.uk
• bunkaout.org
• cahonine.uk
• caltrona.uk
• canasisoit.org
• canomata.cc
• caraniman.uk
• carozule.cc
• casodolu.uk
• choneera.org
• clantox.uk
• clariank.uk
• cleamone.uk
• colameeto.uk
• comunusico.uk
• comydicept.org
• corasina.cc
• crireaspar.org
• crivaulto.org
• crolata.uk
• dalatic.uk
• deadoadow.org
• dearita.cc
• dieroand.org
• dlyvithera.org
• docanis.uk
• dolanoucia.cc
• haladaunch.cc
• holaradie.uk
• homeanate.org
• honeara.org
• hornash.org
• iroloto.uk
• juckanota.org
• kulstada.uk
• laboxara.uk
• lamasota.uk
• lamoreoda.cc
• lanotea.uk
• lanotoal.cc
• lanulsert.uk
• laratozy.uk
• lariclanourt.uk
• lasotila.cc
• lealobatex.uk
• leanasta.cc
• leanisa.uk
• leanocoda.uk
• leanopat.org
• lemotara.uk
• lenaita.uk
• limitunea.uk
• lomoathast.uk
• lomolearal.cc
• lonearast.uk
• lopafeit.uk
• lovelean.uk
• lucleanta.uk
• luiradaro.uk
• malazoco.cc
• malocka.uk
• malocko.cc
• manazerixa.uk
• mapolone.uk
• mareanure.org
• maricolk.uk
• marituma.uk
• masclean.org
• masracot.org
• masylator.org
• matibasta.cc
• mauriank.org
• mazahairil.uk
• mcanstito.org
• mclauck.org
• meaniroda.uk
• meatorata.uk
• melalora.uk
• melivaco.uk
• melotano.cc
• memocata.cc
• meorivsp.org
• meravilo.uk
• mibleanso.uk
• micareactor.uk
• micoveral.uk
• midenara.uk
• mileanunk.uk
• milociaro.uk
• minotea.uk
• mipunkile.uk
• mirasolt.uk
• mirobeta.uk
• mlackaif.uk
• moatimoth.cc
• mobleak.uk
• mocleana.uk
• modaroction.cc
• mokada.uk
• molauzzle.cc
• moleaxo.cc
• molitoda.uk
• molocari.uk
• moloroso.cc
• monicara.uk
• morablia.uk
• moraleans.uk
• moreavata.cc
• moreazule.cc
• moritovery.uk
• morivata.uk
• moscront.uk
• mosleanita.cc
• mraroda.uk
• multiva.uk
• munata.cc
• murunckal.uk
• nanealth.uk
• nanolata.uk
• napuerye.org
• neagolate.org
• netorknida.org
• nitolora.uk
• nolaunifo.cc
• noriado.uk
• noxeario.cc
• nuclaner.org
• nuxuanurio.org
• oclastoru.org
• omaosyst.org
• omrodee.uk
• omuckean.uk
• omutarit.uk
• plockate.org
• quicleate.org
• rackista.org
• rainouzle.org
• ramivop.uk
• reriora.uk
• restado.uk
• restorace.org
• ricasvalt.org
• risdeta.org
• roleadiey.uk
• romarian.cc
• rulsite.uk
• ruminastro.cc
• ruscalot.uk
• sannireilt.uk
• secialtato.uk
• securease.org
• shiloack.uk
• sielanrit.uk
• simplone.org
• siwaune.org
• soteaturi.cc
• storageaner.org
• stulazeo.uk
• suegonle.org
• tahalos.uk
• tarivialo.uk
• tidunarik.uk
• tolavias.uk
• tolimeova.cc
• tonilop.uk
• torasleda.uk
• touroap.org
• vacelockot.org
• vaulota.org
• vaylockie.uk
• vodaxa.uk
• voguish.uk
• wistakote.org
• wopalot.uk
• yamerato.uk