- Trapdoorは455個のAndroidアプリと183個のC2ドメインを使用した広告詐欺キャンペーンです
- このアプリはユーザーを偽の更新にだまし、その後、1日に6億5900万件の不正な広告入札リクエストを生成するために見えないWebViewを秘密裏に起動しました
- Googleは開示後に2400万以上ダウンロードされたアプリを削除し、研究者は日常的なインストールから構築された不正広告配信パイプラインの警告を出しました
セキュリティ研究者は、数百のAndroidアプリで構成される大規模な広告詐欺および広告操作を発見し、解体しました。おそらく数百万ドルの利益を生み出していたと考えられます。
Human SecurityのSatoriチームの研究者は、Trapdoorキャンペーンが455個のアプリケーションと183個のコマンドアンドコントロール(C2)ドメインを使用したと主張しています。
GoogleプレイストアでPDFリーダーなどの一見無害なユーティリティアプリが被害者に提供されました。これらのアプリは意図した通りに機能し、悪意のある行動を示唆するものは何もありませんでした(例えば、広範な権限を求めたり、第三者のサーバーにデータを流出させようとしたりしていません)。しかし、インストール直後、アプリは更新が必要であることを示すポップアップウィンドウを表示します。
何億もの入札リクエスト
この更新は本質的に偽であり、それをトリガーすると実際には完全に異なるアプリがダウンロードされます。そのアプリはデバイスに隠れたままにしようとしますが、見えないWebViewも起動し、攻撃者の制御下にあるHTML5ドメインを読み込み、その後広告をリクエストします。
誰も実際には見ない、これらの広告を通じて、脅威アクターは広告主および製品やサービスを宣伝するために広告ネットワークを使用する企業からお金を盗みました。
Human Securityのレポートによると、ピーク時には、Trapdoorは1日に6億5900万の入札リクエストを占めており、つまり広告主は毎日6億5900万の偽の広告機会に入札していました。さらに、脅威に関連するアプリは2400万回以上ダウンロードされています。
Googleに発見内容について通知した後、Play Storeのメーカーは識別されたすべての悪意のあるアプリをそのアプリリポジトリから削除しました。このリンクでアプリの完全なリストを見つけることができます。使用しているアプリが見つかった場合は、すべてのデバイスからアンインストールしてください。
「Trapdoorは、デジタル広告エコシステムへの脅威が1つのカテゴリーに整然と分類されないことを想起させています」と、Human Securityは指摘しました。「不正広告配信の分布と隠された広告詐欺の収益化を融合することで、Trapdoorは、各段階が次の段階を推進するパイプラインを作成します。不正広告配信は二次的なアプリのインストールを推進し、それらのアプリは不正な広告収益を生成し、その収益はさらなる不正広告配信キャンペーンに資金を提供できます。」
