Investigadores de ciberseguridad han revelado una nueva operación de fraude publicitario y malvertising denominada Trapdoor, dirigida a usuarios de dispositivos Android. La actividad, según el equipo de inteligencia de amenazas Satori de HUMAN, involucró 455 aplicaciones maliciosas y 183 dominios de comando y control (C2) propiedad de los actores de amenazas, convirtiendo la infraestructura en un conducto para fraudes en múltiples etapas.
Los usuarios descargan sin saberlo una aplicación propiedad del actor de amenazas, a menudo una aplicación de tipo utilidad como un visor de PDF o una herramienta de limpieza del dispositivo. Estas aplicaciones desencadenan campañas de malvertising que obligan a los usuarios a descargar aplicaciones adicionales propiedad del actor de amenazas. Las aplicaciones secundarias lanzan WebViews ocultos, cargan dominios HTML5 propiedad del actor de amenazas y solicitan anuncios.
La campaña, según la compañía de ciberseguridad, es autosuficiente: una instalación orgánica de la aplicación se convierte en un ciclo ilícito de generación de ingresos que puede usarse para financiar campañas de malvertising posteriores. Un aspecto notable de la actividad es el uso de sitios de cobro basados en HTML5, un patrón observado en grupos de amenazas anteriores como SlopAds, Low5 y BADBOX 2.0.
En el punto álgido de la operación, Trapdoor generó 659 millones de solicitudes de oferta al día, y las aplicaciones Android vinculadas al esquema se descargaron más de 24 millones de veces. El tráfico asociado a la campaña se originó principalmente en Estados Unidos, que representó más de tres cuartas partes del volumen de tráfico.
Los actores de amenazas detrás de Trapdoor también abusan de las herramientas de atribución de instalaciones (tecnología diseñada para ayudar a los especialistas en marketing legítimos a rastrear cómo los usuarios descubren las aplicaciones) para habilitar el comportamiento malicioso solo en usuarios adquiridos a través de campañas publicitarias gestionadas por los actores de amenazas, mientras lo suprimen para descargas orgánicas de las aplicaciones asociadas.
Trapdoor combina dos enfoques dispares: distribución de malvertising y monetización oculta de fraude publicitario. Los usuarios desprevenidos terminan descargando aplicaciones falsas que se hacen pasar por utilidades inofensivas, que actúan como conducto para servir anuncios maliciosos de otras aplicaciones Trapdoor. Estas aplicaciones de segunda etapa están diseñadas para realizar fraude de toques automatizados, así como lanzar WebViews ocultos, cargar dominios de cobro controlados por los actores de amenazas y solicitar anuncios.
Cabe destacar que solo la aplicación de segunda etapa se utiliza para desencadenar el fraude. Una vez que se inicia la aplicación descargada orgánicamente, muestra alertas emergentes falsas que imitan mensajes de actualización de aplicaciones para engañar a los usuarios e instalar la aplicación de la siguiente etapa. Este comportamiento también indica que la carga útil solo se activa para quienes son víctimas de la campaña publicitaria. En otras palabras, cualquier persona que descargue la aplicación directamente desde Play Store o la instale lateralmente no será objetivo. Además de esta técnica de activación selectiva, Trapdoor emplea diversas técnicas de ofuscación y antianálisis para eludir la detección.
Esta operación utiliza software real y cotidiano y múltiples técnicas de ofuscación y antianálisis, como hacerse pasar por SDK legítimos para mezclarse, ayudando a fusionar la distribución de malvertising, la monetización oculta del fraude publicitario y la distribución de malware en múltiples etapas.
Tras la divulgación responsable, Google ha tomado medidas para eliminar todas las aplicaciones maliciosas identificadas de Google Play Store, neutralizando efectivamente la operación. La lista completa de aplicaciones Android está disponible aquí.
Trapdoor muestra cómo los estafadores decididos convierten las instalaciones de aplicaciones cotidianas en un conducto autofinanciado para malvertising y fraude publicitario. Es otra instancia de actores de amenazas que cooptan herramientas legítimas, como software de atribución, para ayudar en sus campañas de fraude y evadir la detección. Al encadenar aplicaciones de utilidad, dominios de cobro HTML5 y técnicas de activación selectiva que se esconden de los investigadores, estos actores están en constante evolución, y nuestro equipo Satori está comprometido a rastrearlos y desbaratarlos a gran escala.
