「Trapdoor」と名付けられた大規模な悪質広告と広告詐欺キャンペーンで、455個の悪意あるAndroidアプリケーションと183個のコマンド&コントロール(C2)ドメインを含み、モバイル詐欺の自己持続的なサイクルを生成しています。
ピーク時には、ボットネットが1日最大6億5900万の入札リクエストを生成し、関連アプリケーションは世界中で2400万以上のダウンロードを累積しました。
Trapdoorは、欺瞞的な広告と自動化された隠れたクリック詐欺を組み合わせた、非常に組織化された詐欺パイプラインを表しています。
このパイプラインは、セキュリティ研究者と自動分析ツールを積極的に回避しながら、被害者を選別的に標的にしています。
この作戦は、正当なユーザーをセキュリティアナリストから慎重に分離するために、2段階の配布モデルに依存しています。ユーザーは最初、PDFリーダーやデバイスクリーンアップツールなどのユーティリティスタイルのアプリケーションをGooglePlayストアから直接ダウンロードします。
これらのオーガニックインストールは即座の詐欺的動作を示さず、アプリケーションが初期的なプラットフォームセキュリティチェックをバイパスし、大規模な疑わないユーザーベースを構築するのを助けます。
プライマリアプリがアクティブになると、ユーザーに対して標的化された悪質広告キャンペーンを開始します。被害者は、新しくインストールしたユーティリティアプリが時代遅れまたはサポートされていないと主張する欺瞞的な広告で爆撃されます。
これらの偽の更新プロンプトは、ユーザーの信頼を悪用して、セカンダリの、大きく武装化されたペイロードアプリケーションのダウンロードを強制することで、虚偽の緊急感を作成します。
このセカンダリペイロードの技術的実行には、違法な収益を生成するための複数の自動化ステップが含まれます。
Trapdoorの最も注目すべき技術的達成は、正当なモバイルマーケティング属性プラットフォームの悪用です。
悪意あるアプリケーションは、デバイスにどのようにインストールされたかを正確に判断するために、tracker_name値を検査します。
インストールがオーガニックとしてフラグが立てられた場合、つまりユーザーまたはセキュリティ研究者がアプリストアから直接ダウンロードした場合、悪意あるワークフローは完全に休止状態のままです。
/api/referrerエンドポイントをクエリすることで、マルウェアはホストデバイスをルート化されたたインバイロンメント、デバッグツール、およびアクティブなVPN接続について積極的にスキャンします。
セキュリティアナリストが動的モバイル分析中にローカル傍受ツールとVPNに大きく依存しているため、これらのチェックは研究室環境での悪意ある実行を停止するための高度に調整されたトリップワイアとして機能します。
開発者はまた、正当な広告SDKを装うために設計されたネイティブパッキング、コード仮想化、および偽のクラス構造を利用しています。
翻訳元: https://cyberpress.org/trapdoor-android-click-fraud/