Пока вы спите, ваш Android ударно трудится на рекламных фермах. Разбор работы скрытой сети из 455 заражённых программ
NewsMakerХитрый вирус притворяется мёртвым в руках безопасников и моментально оживает у простых пользователей.
Команда HUMAN Security раскрыла крупную вредоносную схему Trapdoor, которая превращала обычные Android -приложения в часть скрытой схемы заработка на рекламе. Пользователь мог скачать безобидный на вид PDF-просмотрщик, файловый менеджер или утилиту для очистки телефона, а затем попадал в цепочку навязчивой рекламы, поддельных обновлений и скрытых кликов по объявлениям.
По данным HUMAN, операция охватывала 455 вредоносных приложений и 183 домена управления. Связанные с Trapdoor приложения скачали более 24 млн раз, а на пике схема генерировала до 659 млн заявок на рекламные аукционы в день.
Trapdoor работала в несколько этапов. Первое приложение, установленное обычным способом, само по себе не запускало мошенническую активность. Вместо этого пользователю показывали рекламу с сообщением о якобы устаревшей или неподдерживаемой версии программы. Нажатие на объявление вело к установке другого приложения, уже связанного с основным механизмом заработка злоумышленников.
Авторы отчёта указывают, что операторы Trapdoor злоупотребляли инструментами маркетинговой атрибуции. Такие сервисы помогают законным рекламодателям понять, откуда пришёл пользователь, но в Trapdoor их применяли для фильтрации.
Если приложение скачивали напрямую из Google Play или устанавливали вручную для проверки, вредоносная логика не проявлялась. Когда пользователь приходил через рекламную кампанию злоумышленников, запускался скрытый сценарий.
После активации приложение расшифровывало встроенные файлы с адресами управляющих серверов, координатами нажатий и параметрами загрузки. Затем открывался скрытый от пользователя WebView , который обращался к HTML5-доменам, запрашивал рекламу и имитировал касания, свайпы и другие действия. Команда HUMAN отмечает, что такие движения были не случайными, а заранее рассчитанными для взаимодействия с конкретными рекламными блоками.
Trapdoor также пыталась мешать анализу. Приложения проверяли признаки root-доступа, отладки и использования VPN, применяли шифрование строк, упаковщики, виртуализацию кода и маскировались под законные рекламные SDK. Похожий подход HUMAN ранее связывала с операциями SlopAds, Low5 и BADBOX 2.0, где HTML5-сайты с играми и новостями использовались для получения рекламаного дохода.
HUMAN сообщила, что уже внедрила защиту от Trapdoor в свои решения для рекламной безопасности. При этом операторы схемы продолжают выпускать новые приложения и менять домены, поэтому команда Satori продолжает отслеживать развитие кампании.
Команда HUMAN Security раскрыла крупную вредоносную схему Trapdoor, которая превращала обычные Android -приложения в часть скрытой схемы заработка на рекламе. Пользователь мог скачать безобидный на вид PDF-просмотрщик, файловый менеджер или утилиту для очистки телефона, а затем попадал в цепочку навязчивой рекламы, поддельных обновлений и скрытых кликов по объявлениям.
По данным HUMAN, операция охватывала 455 вредоносных приложений и 183 домена управления. Связанные с Trapdoor приложения скачали более 24 млн раз, а на пике схема генерировала до 659 млн заявок на рекламные аукционы в день.
Trapdoor работала в несколько этапов. Первое приложение, установленное обычным способом, само по себе не запускало мошенническую активность. Вместо этого пользователю показывали рекламу с сообщением о якобы устаревшей или неподдерживаемой версии программы. Нажатие на объявление вело к установке другого приложения, уже связанного с основным механизмом заработка злоумышленников.
Авторы отчёта указывают, что операторы Trapdoor злоупотребляли инструментами маркетинговой атрибуции. Такие сервисы помогают законным рекламодателям понять, откуда пришёл пользователь, но в Trapdoor их применяли для фильтрации.
Если приложение скачивали напрямую из Google Play или устанавливали вручную для проверки, вредоносная логика не проявлялась. Когда пользователь приходил через рекламную кампанию злоумышленников, запускался скрытый сценарий.
После активации приложение расшифровывало встроенные файлы с адресами управляющих серверов, координатами нажатий и параметрами загрузки. Затем открывался скрытый от пользователя WebView , который обращался к HTML5-доменам, запрашивал рекламу и имитировал касания, свайпы и другие действия. Команда HUMAN отмечает, что такие движения были не случайными, а заранее рассчитанными для взаимодействия с конкретными рекламными блоками.
Trapdoor также пыталась мешать анализу. Приложения проверяли признаки root-доступа, отладки и использования VPN, применяли шифрование строк, упаковщики, виртуализацию кода и маскировались под законные рекламные SDK. Похожий подход HUMAN ранее связывала с операциями SlopAds, Low5 и BADBOX 2.0, где HTML5-сайты с играми и новостями использовались для получения рекламаного дохода.
HUMAN сообщила, что уже внедрила защиту от Trapdoor в свои решения для рекламной безопасности. При этом операторы схемы продолжают выпускать новые приложения и менять домены, поэтому команда Satori продолжает отслеживать развитие кампании.