TokyoBlackHatNews

gbhackers.com 4分で読了

Trapdoor Android広告詐欺リング、455個のアプリで虚偽のクリックを悪用

「Trapdoor」という名称の大規模なAndroid広告詐欺キャンペーンが、455個の悪質なアプリと183個のコマンド・アンド・コントロール(C2)ドメインで構成された洗練されたエコシステムを暴露しました。

この作戦は、不正広告、自動化されたクリック詐欺、および高度な回避技術を組み合わせて、デジタル広告エコシステム全体で大規模な不正トラフィックを生成した自己持続的な収益ループを作成します。

ピーク時には、Trapdoorは1日約6億5900万のビッドリクエストを生成し、関連アプリは2400万回以上ダウンロードされました。

このキャンペーンは、複数の詐欺段階を継続的なパイプラインに融合させることで注目されており、脅威アクターが検出を回避しながらユーザーを繰り返し収益化することができます。

感染チェーンは、一見合法的なAndroidアプリケーションから始まり、しばしばPDFリーダー、ファイルマネージャー、デバイスクリーナーなどのユーティリティツールに偽装されています。

これらのアプリは公式およびサードパーティチャネルを通じて配布され、初期使用時は無害に見えます。

しかし、インストールされると、アップデートまたはパフォーマンス改善という名目で追加のアプリケーションをインストールするようユーザーに促す詐欺的広告キャンペーンを開始します。

HUMANのSatori脅威インテリジェンスおよび研究チームは、Trapdoorという名称の広告詐欺および不正広告作戦を特定し、中断しました

これらのフォローアップインストレーションは、詐欺作戦の中心です。初期アプリと異なり、二次ペイロードアプリは隠された悪質な機能を活性化させます。

これらは、攻撃者が管理するHTML5ドメインをロードし、静かに広告をリクエストする目に見えないWebViewをデプロイします。舞台裏では、これらのアプリは自動化されたタッチイベントを使用してユーザーとの広告インタラクションをシミュレートし、ユーザーの知識なしに不正クリックを生成します。

Trapdoorのアーキテクチャは、配布、活性化、ペイロード実行、収益化で構成される多段階パイプラインに依存しています。

その最も高度なテクニックの1つは、モバイルインストール属性システムの悪用を含みます。これらのシステムは通常、マーケターがユーザー獲得を追跡するために使用されますが、攻撃者はオーガニックと広告駆動インストールを区別するために操作します。

悪質な行動は、ユーザーが攻撃者が管理する広告キャンペーン経由でアプリをインストールした場合にのみトリガーされます。

セキュリティ研究者がアプリストアから直接同じアプリをダウンロードすると、アプリは正常に動作し、従来の分析方法を効果的に迂回します。この選択的活性化は、検出の可能性を大幅に低減します。

活性化されると、マルウェアはC2ドメインおよびクリック自動化命令を含む主要な運用データを含む埋め込まれたアセットを復号化します。

これらの命令は、move.txtおよびclick.txtなどのファイルに保存されており、正確なスクリーン座標とジェスチャーパターンを定義します。

Androidの入力ディスパッチメカニズムを使用して、マルウェアは特定の広告配置と相互作用するように設計された現実的なタップとスワイプシーケンスを実行します。

不正な活動は、ユーザーに対して目に見えないままになるように構成された隠されたWebViews内で実行されます。これらのビューは攻撃者インフラストラクチャでホストされているHTML5ベースのコンテンツをロードし、ゲームやニュースプラットフォームをよくまねます。

このアプローチは、Trapdoorを以前に識別されたSlopAds、Low5、およびBADBOX 2.0などの作戦に合わせます。これらはすべて、HTML5ドメインを収益化層として利用しました。

検出を回避するために、Trapdoorは複数のアンチ分析技術を採用しています。これには、ルート化されたデバイス、デバッグ環境、およびセキュリティ研究に一般的に関連するVPN使用のチェックが含まれます

そのような条件が検出されると、悪質な行動は抑制されます。さらに、アプリはネイティブコードパッキング、文字列暗号化、およびコード仮想化を使用してリバースエンジニアリング努力を妨げます。

一部のバリアントは、正当な広告SDKになりすましして、通常のアプリケーション動作に混ぜます。

HUMANは、その広告セキュリティプラットフォームを通じてTrapdoorに対する保護を展開し、これらのアプリによって生成された不正トラフィックの影響を軽減しています。

しかし、研究者は脅威アクターが新しいアプリをリリースしてインフラストラクチャをローテーションすることで、作戦を進化させ続けることを警告しています。

Trapdoorは、脅威アクターが合法的な広告技術およびインフラストラクチャを利用して詐欺作戦をスケーリングする傾向の高まりを強調しています。

詐欺的配布、選択的活性化、および自動化された収益化を組み合わせることにより、このキャンペーンは、現代の広告詐欺がいかに高度に適応的で検出が難しいかを示しています。

翻訳元: https://gbhackers.com/trapdoor-android-ad-fraud-ring/

ソース: gbhackers.com
#Android #クリック詐欺 #セキュリティ #マルウェア #モバイルセキュリティ #不正トラフィック #広告詐欺 #脅威インテリジェンス #脅威分析 #詐欺

関連記事

新しいNGINX脆弱性がサーバーを悪意あるコード実行に晒す

VoidStealer マルウェアがブラウザ組込保護にもかかわらずChromeデータを狙う

UAC-0184はBitsadminとHTAファイルを使用してゲーテッドマルウェアを配信