Команда HUMAN Satori Threat Intelligence раскрыла масштабную мошенническую операцию Trapdoor, нацеленную на пользователей Android. По данным исследователей, схема охватывала 455 вредоносных приложений и 183 домена командной инфраструктуры (C2), формируя многоступенчатый конвейер рекламного мошенничества. Приложения, связанные с кампанией, были загружены более 24 миллионов раз, а на пике активности операция генерировала до 659 миллионов рекламных запросов (bid requests) в сутки. Более трёх четвертей трафика, как сообщается, приходилось на США. Google удалил выявленные приложения из Play Store после ответственного раскрытия информации, однако пользователям, установившим эти приложения ранее, следует проверить свои устройства.

Многоступенчатая цепочка заражения

Согласно отчёту HUMAN, операция Trapdoor использует двухэтапную модель. На первом этапе пользователь загружает внешне безобидное утилитарное приложение — программу для просмотра PDF-файлов, инструмент очистки устройства или аналогичную утилиту. Это приложение само по себе не выполняет мошеннических действий, но запускает вредоносную рекламную кампанию: пользователю показываются поддельные всплывающие уведомления, имитирующие сообщения об обновлении приложений, с целью побудить его установить второе приложение.

Именно второе приложение является основным инструментом мошенничества. По данным исследователей, оно выполняет следующие действия:

• Запускает скрытые компоненты WebView, невидимые для пользователя
• Загружает HTML5-домены, контролируемые злоумышленниками
• Автоматически запрашивает и отображает рекламу в скрытом режиме
• Выполняет автоматизированное мошенничество с имитацией касаний (touch fraud)

Ключевая особенность Trapdoor — самоподдерживающийся характер операции. Доход от скрытого показа рекламы направляется на финансирование новых вредоносных рекламных кампаний, которые привлекают дополнительных пользователей. Таким образом, каждая органическая установка приложения превращается в источник средств для расширения схемы.

Техники уклонения от обнаружения

Операторы Trapdoor применяют несколько примечательных методов противодействия анализу. Наиболее значимый из них — злоупотребление инструментами атрибуции установок. Эти инструменты, предназначенные для легитимных маркетологов, позволяют отслеживать, каким образом пользователь обнаружил приложение. Злоумышленники используют эту технологию для селективной активации: вредоносное поведение запускается только у пользователей, привлечённых через контролируемые атакующими рекламные кампании. Пользователи, загрузившие приложение напрямую из Google Play Store или установившие его из стороннего источника, предположительно не подвергаются атаке.

Такой подход существенно затрудняет обнаружение угрозы исследователями и автоматическими системами проверки магазинов приложений: при стандартном тестировании приложение ведёт себя легитимно. Помимо этого, Trapdoor использует:

• Имитацию легитимных SDK для маскировки вредоносного кода
• Множественные техники обфускации
• Методы противодействия динамическому анализу

Связь с предыдущими кампаниями

Исследователи HUMAN отмечают, что использование HTML5-сайтов для вывода средств (cashout) — паттерн, ранее наблюдавшийся в кластерах угроз SlopAds, Low5 и BADBOX 2.0. Однако следует учитывать, что эта связь основана на оценке одной исследовательской группы и не подтверждена независимо. Конкретная атрибуция операторов Trapdoor не раскрыта — злоумышленники остаются неидентифицированными.

Масштаб воздействия и затронутые пользователи

Географическая концентрация трафика в США (более 75%) указывает на целенаправленный таргетинг англоязычной аудитории, вероятно, обусловленный более высокой стоимостью рекламных показов на американском рынке. При 24 миллионах загрузок и 659 миллионах ежедневных рекламных запросов на пике активности масштаб финансового ущерба для рекламодателей и рекламных сетей может быть значительным, хотя конкретные суммы в отчёте не приводятся.

Для конечных пользователей основные риски включают повышенное потребление трафика и ресурсов устройства скрытыми WebView, а также потенциальное расширение функциональности вредоносных приложений в будущем — многоступенчатая архитектура позволяет операторам доставлять произвольные полезные нагрузки.

Рекомендации

Полный список приложений, связанных с Trapdoor, опубликован HUMAN. Пользователям Android рекомендуется:

1. Проверить установленные приложения по опубликованному списку и немедленно удалить совпадения
2. Критически оценивать утилитарные приложения от малоизвестных разработчиков — именно эта категория (просмотрщики PDF, инструменты очистки) использовалась как первичный вектор
3. Не устанавливать приложения по ссылкам из рекламных объявлений внутри других приложений, особенно если они маскируются под системные обновления
4. Проверить настройки устройства на предмет приложений с необычно высоким потреблением трафика в фоновом режиме

Хотя Google удалил выявленные приложения из Play Store, это не затрагивает уже установленные экземпляры на устройствах пользователей. Учитывая самофинансируемый характер операции и использование техник селективной активации, которые затрудняют обнаружение стандартными средствами проверки, ручная проверка установленных приложений по списку HUMAN остаётся наиболее надёжным способом выявления компрометации.