Pesquisadores de cibersegurança divulgaram detalhes de uma nova operação de fraude publicitária e malvertising chamada Trapdoor, voltada a usuários de dispositivos Android.
Segundo a equipe de Threat Intelligence and Research da HUMAN, a atividade envolveu 455 aplicativos maliciosos para Android e 183 domínios de C2 controlados por threat actors, transformando a infraestrutura em uma cadeia de fraude em várias etapas.
"Os usuários, sem perceber, baixam um aplicativo pertencente ao threat actor, muitas vezes um app de utilidade, como um leitor de PDF ou uma ferramenta de limpeza do dispositivo", detalharam os pesquisadores Louisa Abel, Ryan Joye, João Marques, João Santos e Adam Sell em relatório compartilhado com o The Hacker News.
"Esses aplicativos disparam campanhas de malvertising que forçam os usuários a baixar aplicativos adicionais controlados pelo threat actor.
Os aplicativos secundários abrem WebViews ocultas, carregam domínios HTML5 pertencentes ao threat actor e solicitam anúncios."
A empresa de cibersegurança acrescentou que a campanha é autossustentável, já que uma instalação orgânica de aplicativo acaba se transformando em um ciclo ilícito de geração de receita, que pode financiar novas campanhas de malvertising.
Um aspecto notável da atividade é o uso de sites de saque baseados em HTML5, um padrão já observado em grupos de ameaça anteriores monitorados como SlopAds, Low5 e BADBOX 2.0.
No auge da operação, o Trapdoor respondeu por 659 milhões de solicitações de lances por dia, e os aplicativos Android ligados ao esquema ultrapassaram 24 milhões de downloads.
O tráfego associado à campanha teve origem principalmente nos Estados Unidos, que concentraram mais de três quartos do volume total.
"Os threat actors por trás do Trapdoor também abusam de ferramentas de atribuição de instalação, tecnologia criada para ajudar profissionais de marketing legítimos a rastrear como os usuários descobrem aplicativos, para ativar o comportamento malicioso apenas em usuários captados por campanhas publicitárias operadas pelo threat actor, enquanto o suprimem em downloads orgânicos dos aplicativos associados", afirmou a HUMAN.
O Trapdoor combina duas abordagens distintas: distribuição por malvertising e monetização oculta de fraude publicitária.
Nela, usuários desavisados baixam aplicativos falsos que se passam por utilitários inofensivos, mas funcionam como ponte para exibir anúncios maliciosos de outros aplicativos do ecossistema Trapdoor, projetados para executar fraude de toques automatizados, além de abrir WebViews ocultas, carregar domínios de lavagem controlados pelo threat actor e solicitar anúncios.
Vale destacar que apenas o aplicativo de segunda etapa é usado para acionar a fraude.
Depois que o aplicativo baixado organicamente é executado, ele exibe alertas pop-up falsos, que imitam mensagens de atualização de aplicativo, para enganar o usuário e levá-lo a instalar o próximo aplicativo da cadeia.
Esse comportamento também indica que o payload é ativado somente para quem cai na campanha publicitária.
Em outras palavras, qualquer pessoa que baixe o aplicativo diretamente da Play Store ou faça sideload não será alvo.
Além dessa técnica de ativação seletiva, o Trapdoor emprega diversas táticas de anti-análise e ofuscação para evitar a detecção.
"Essa operação usa software real do dia a dia e múltiplas técnicas de ofuscação e anti-análise, como se passar por SDKs legítimos para se misturar ao ambiente, para integrar distribuição por malvertising, monetização oculta de fraude publicitária e distribuição de malware em múltiplas etapas", afirmou Lindsay Kaye, vice-presidente de threat intelligence da HUMAN.
Após a divulgação responsável, o Google adotou medidas para remover todos os aplicativos maliciosos identificados da Google Play Store, neutralizando efetivamente a operação.
"O Trapdoor mostra como fraudadores determinados transformam instalações comuns de aplicativos em uma cadeia autossustentável de malvertising e fraude publicitária", disse Gavin Reid, diretor de segurança da informação da HUMAN.
"Este é mais um caso em que threat actors se apropriam de ferramentas legítimas, como softwares de atribuição, para ajudar em suas campanhas de fraude e dificultar a detecção.
Ao encadear aplicativos de utilidade, domínios de saque em HTML5 e técnicas de ativação seletiva que se escondem dos pesquisadores, esses atores evoluem constantemente, e a equipe Satori da HUMAN está comprometida em rastreá-los e interrompê-los em grande escala."
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...