Investigadores de ciberseguridad han revelado detalles de una nueva operación de fraude publicitario y publicidad maliciosa denominada Trampa Dirigido a usuarios de dispositivos Android.
La actividad, según el equipo de investigación e inteligencia de amenazas Satori de HUMAN, abarcó 455 aplicaciones maliciosas de Android y 183 dominios de comando y control (C2) propiedad de actores de amenazas, lo que convirtió la infraestructura en un canal para el fraude en múltiples etapas.
«Los usuarios, sin saberlo, descargan una aplicación propiedad de un actor de amenazas, a menudo una aplicación de estilo utilitario como un visor de PDF o una herramienta de limpieza de dispositivos», detallaron los investigadores Louisa Abel, Ryan Joye, João Marques, João Santos y Adam Sell en un informe compartido con The Hacker News.
«Estas aplicaciones desencadenan campañas de publicidad maliciosa que obligan a los usuarios a descargar aplicaciones adicionales propiedad de los actores de amenazas. Las aplicaciones secundarias lanzan WebViews ocultas, cargan dominios HTML5 propiedad de los actores de amenazas y solicitan anuncios».
La campaña, añadió la empresa de ciberseguridad, es autosostenible en el sentido de que la instalación orgánica de una aplicación se convierte en un ciclo de generación de ingresos ilícitos que puede utilizarse para financiar campañas de publicidad maliciosa posteriores. Un aspecto notable de la actividad es el uso de sitios de retiro de efectivo basados en HTML5, un patrón observado en grupos de amenazas anteriores rastreados como SlopAds, Low5 y BADBOX 2.0.
En el punto álgido de la operación, Trapdoor representó 659 millones de solicitudes de oferta por día, y las aplicaciones de Android vinculadas al esquema se descargaron más de 24 millones de veces. El tráfico asociado con la campaña se originó principalmente en EE. UU., que representó más de las tres cuartas partes del volumen de tráfico.
«Los actores de amenazas detrás de Trapdoor también abusan de las herramientas de atribución de instalación (tecnología diseñada para ayudar a los vendedores legítimos a rastrear cómo los usuarios descubren aplicaciones) para permitir comportamiento malicioso solo en usuarios adquiridos a través de campañas publicitarias dirigidas por actores de amenazas, mientras lo suprimen para descargas orgánicas de las aplicaciones asociadas», dijo HUMAN.
Trapdoor combina dos enfoques dispares, distribución de publicidad maliciosa y monetización de fraude publicitario oculto, donde los usuarios desprevenidos terminan descargando aplicaciones falsas disfrazadas de utilidades aparentemente inofensivas que actúan como un conducto para publicar anuncios maliciosos para otras aplicaciones de Trapdoor, que están diseñadas para realizar fraude táctil automatizado, así como para lanzar WebViews ocultos, cargar dominios de lavado controlados por actores de amenazas y solicitar anuncios.
Vale la pena señalar que solo se utiliza la aplicación de segunda etapa para desencadenar el fraude. Una vez que se inicia la aplicación descargada orgánicamente, muestra alertas emergentes falsas que imitan los mensajes de actualización de la aplicación para engañar a los usuarios para que instalen la aplicación de la siguiente etapa.
Este comportamiento también indica que la carga útil se activa sólo para aquellos que son víctimas de la campaña publicitaria. En otras palabras, cualquiera que descargue la aplicación directamente desde Play Store o la descargue no será el objetivo. Además de esta técnica de activación selectiva, Trapdoor emplea varias técnicas de antianálisis y ofuscación para eludir la detección.
«Esta operación utiliza software real y cotidiano y múltiples técnicas de ofuscación y antianálisis, como hacerse pasar por SDK legítimos para integrarse, para ayudar a fusionar la distribución de publicidad maliciosa, la monetización del fraude publicitario oculto y la distribución de malware en múltiples etapas», dijo Lindsay Kaye, vicepresidenta de inteligencia de amenazas de HUMAN.
Tras una divulgación responsable, Google ha tomado medidas para eliminar todas las aplicaciones maliciosas identificadas de Google Play Store, neutralizando efectivamente la operación. La lista completa de aplicaciones de Android está disponible aquí.
«Trapdoor muestra cómo los estafadores decididos convierten las instalaciones cotidianas de aplicaciones en un canal de autofinanciación para publicidad maliciosa y fraude publicitario», dijo Gavin Reid, director de seguridad de la información de HUMAN. «Este es otro ejemplo de actores de amenazas que cooptan herramientas legítimas, como el software de atribución, para ayudar en sus campañas de fraude y ayudarles a evadir la detección».
«Al encadenar aplicaciones de utilidad, dominios de retiro HTML5 y técnicas de activación selectiva que se esconden de los investigadores, estos actores están en constante evolución, y nuestro equipo de Satori está comprometido a rastrearlos e interrumpirlos a escala».