Investigadores de ciberseguridad han revelado detalles de una nueva operación de fraude publicitario y publicidad maliciosa llamada «Trapdoor» dirigida a usuarios de dispositivos Android.
Según el equipo de investigación e inteligencia de amenazas Satori de HUMAN, esta actividad involucró 455 aplicaciones maliciosas de Android y 183 dominios de comando y control (C2) propiedad de actores de amenazas, lo que convirtió la infraestructura en un canal de fraude de múltiples etapas.
«Los usuarios, sin saberlo, descargan aplicaciones propiedad de actores de amenazas, a menudo aplicaciones de estilo utilitario, como visores de PDF o herramientas de limpieza de dispositivos», detallaron los investigadores Luisa Abel, Ryan Joy, João Marquez, João Santos y Adam Sell en un informe compartido con Hacker News.
«Estas aplicaciones lanzan campañas de publicidad maliciosa que obligan a los usuarios a descargar aplicaciones propiedad de actores de amenazas adicionales. Las aplicaciones secundarias lanzan WebViews ocultas, cargan dominios HTML5 propiedad de actores de amenazas y solicitan anuncios».
La empresa de ciberseguridad añadió que la campaña es autosostenible en el sentido de que las instalaciones orgánicas de aplicaciones pueden convertirse en ciclos ilegales de generación de ingresos que pueden utilizarse para financiar campañas de publicidad maliciosa posteriores. Un aspecto notable de esta actividad es el uso de sitios de retiro de efectivo basados en HTML5. Este es un patrón observado en grupos de amenazas anteriores rastreados como SlopAds, Low5 y BADBOX 2.0.
En el punto álgido de la operación, la trampilla registró 659 millones de solicitudes de ofertas por día y las aplicaciones de Android vinculadas al plan se descargaron más de 24 millones de veces. El tráfico asociado a esta campaña provino principalmente de Estados Unidos, que representó más de las tres cuartas partes del volumen de tráfico.
«Los atacantes detrás de Trapdoor también explotan las herramientas de atribución de instalación (tecnología diseñada para permitir a los vendedores legítimos rastrear cómo los usuarios descubren sus aplicaciones) para permitir comportamiento malicioso sólo en los usuarios adquiridos a través de campañas publicitarias ejecutadas por el actor de la amenaza, y suprimirlo para descargas orgánicas de aplicaciones asociadas», dijo HUMAN.
Trapdoor combina dos enfoques diferentes: distribución de publicidad maliciosa y monetización mediante fraude publicitario encubierto. En este caso, los usuarios desprevenidos acaban descargando una aplicación falsa disfrazada de utilidad aparentemente inofensiva. Esta utilidad actúa como un conducto para publicar anuncios maliciosos en otras aplicaciones de Trapdoor. Además de realizar fraudes de toque automático, estas aplicaciones están diseñadas para iniciar WebViews ocultas, cargar dominios eliminados controlados por actores de amenazas y solicitar anuncios.
Tenga en cuenta que solo se utilizan aplicaciones de segunda etapa para cometer fraude. Cuando se inicia una aplicación descargada naturalmente, muestra una alerta emergente falsa que imita un mensaje de actualización de la aplicación para engañar al usuario para que instale la siguiente etapa de la aplicación.
Este comportamiento también indica que la carga útil sólo se activará para las víctimas de la campaña publicitaria. Esto significa que las personas que descargan o descargan aplicaciones directamente desde Play Store no son el objetivo. Además de esta técnica de activación selectiva, Trapdoor utiliza varias técnicas de antianálisis y ofuscación para evadir la detección.
«Esta operación utiliza software real y cotidiano y múltiples técnicas de ofuscación y antianálisis (incluida la combinación de SDK legítimos disfrazados) para combinar la entrega de publicidad maliciosa, la monetización del fraude publicitario encubierto y la entrega de malware en varias etapas», dijo Lindsay Kaye, vicepresidenta de Inteligencia de Amenazas de HUMAN.
Tras una divulgación responsable, Google ha tomado medidas para eliminar todas las aplicaciones maliciosas identificadas de Google Play Store, neutralizando efectivamente sus operaciones. Una lista completa de aplicaciones de Android está disponible aquí.
«Trapdoor muestra cómo los estafadores decididos están convirtiendo las instalaciones cotidianas de aplicaciones en canales de autofinanciación para publicidad maliciosa y fraude publicitario», dijo Gavin Reid, director de seguridad de la información de Human. «Este es otro ejemplo de cómo los atacantes aprovechan herramientas legítimas, como el software de atribución, para ayudar en su fraude y evadir la detección».
«A través de una cadena de aplicaciones de utilidad, dominios de almacenamiento en caché HTML5 y técnicas de activación selectiva que los ocultan a los investigadores, estos actores de amenazas están en constante evolución, y nuestro equipo de Satori está trabajando para rastrearlos e interrumpirlos a escala».
Source link
