Das Team von HUMAN Satori Threat Intelligence hat die groß angelegte Betrugsoperation Trapdoor aufgedeckt, die auf Android-Nutzer abzielt. Nach Angaben der Forscher umfasste das Schema 455 schädliche Apps und 183 Domains der Command-and-Control-Infrastruktur (C2) und bildete so eine mehrstufige Pipeline für Werbebetrug. Die mit der Kampagne verknüpften Apps wurden mehr als 24 Millionen Mal heruntergeladen, und auf dem Höhepunkt der Aktivität generierte die Operation bis zu 659 Millionen Werbeaufrufe (bid requests) pro Tag. Mehr als drei Viertel des Traffics entfielen dem Bericht zufolge auf die USA. Google hat die identifizierten Apps nach verantwortungsvoller Offenlegung aus dem Play Store entfernt, Nutzer, die diese Anwendungen zuvor installiert haben, sollten ihre Geräte jedoch überprüfen.

Mehrstufige Infektionskette

Laut dem Bericht von HUMAN nutzt die Operation Trapdoor ein zweistufiges Modell. In der ersten Phase lädt der Nutzer eine äußerlich harmlose Utility-App herunter – etwa einen PDF-Viewer, ein Reinigungs-Tool für das Gerät oder eine ähnliche Anwendung. Diese App führt für sich genommen keine betrügerischen Handlungen aus, stößt jedoch eine schädliche Werbekampagne an: Dem Nutzer werden gefälschte Pop-up-Benachrichtigungen angezeigt, die Systemmeldungen zu App-Updates imitieren, um ihn zur Installation einer zweiten App zu bewegen.

Erst die zweite App ist das zentrale Werkzeug des Betrugs. Nach Angaben der Forscher führt sie folgende Aktionen aus:

• Starten versteckter WebView-Komponenten, die für den Nutzer unsichtbar bleiben
• Laden von HTML5-Domains, die von den Angreifern kontrolliert werden
• Automatisches Anfordern und verdecktes Anzeigen von Werbung
• Automatisierter Betrug durch Simulation von Berührungen (touch fraud)

Ein zentrales Merkmal von Trapdoor ist der selbsterhaltende Charakter der Operation. Die Erlöse aus der verdeckten Werbeausspielung fließen in die Finanzierung neuer schädlicher Werbekampagnen, die weitere Nutzer anziehen. So wird jede organische Installation der App zu einer Geldquelle für die Ausweitung des Schemas.

Techniken zur Umgehung der Erkennung

Die Betreiber von Trapdoor setzen mehrere bemerkenswerte Methoden zur Erschwerung der Analyse ein. Am bedeutendsten ist der Missbrauch von Tools zur Attribuierung von Installationen. Diese Werkzeuge, die eigentlich für legitime Marketingzwecke gedacht sind, erlauben es, nachzuvollziehen, wie ein Nutzer eine App gefunden hat. Die Angreifer nutzen diese Technik für eine selektive Aktivierung: Das schädliche Verhalten wird nur bei Nutzern ausgelöst, die über von den Angreifern kontrollierte Werbekampagnen gewonnen wurden. Nutzer, die die App direkt aus dem Google Play Store heruntergeladen oder sie aus einer anderen Quelle installiert haben, werden mutmaßlich nicht angegriffen.

Dieser Ansatz erschwert die Erkennung der Bedrohung durch Forscher und automatische Prüfsysteme von App-Stores erheblich: Bei Standardtests verhält sich die App legitim. Darüber hinaus nutzt Trapdoor:

• Imitation legitimer SDKs zur Tarnung des schädlichen Codes
• Vielfältige Obfuskationstechniken
• Methoden zur Abwehr dynamischer Analyse

Verbindung zu früheren Kampagnen

Die Forscher von HUMAN weisen darauf hin, dass der Einsatz von HTML5-Sites zur Auszahlung (Cashout) ein Muster ist, das zuvor in den Bedrohungsclustern SlopAds, Low5 und BADBOX 2.0 beobachtet wurde. Dabei ist zu berücksichtigen, dass diese Verbindung auf der Einschätzung einer einzelnen Forschungsgruppe beruht und nicht unabhängig bestätigt ist. Eine konkrete Attribution der Betreiber von Trapdoor wurde nicht veröffentlicht – die Angreifer bleiben unbekannt.

Ausmaß der Auswirkungen und betroffene Nutzer

Die geografische Konzentration des Traffics in den USA (über 75 %) deutet auf ein gezieltes Targeting eines englischsprachigen Publikums hin, wahrscheinlich bedingt durch höhere Werbepreise im US-Markt. Bei 24 Millionen Downloads und 659 Millionen täglichen Werbeanfragen auf dem Höhepunkt der Aktivität dürfte das finanzielle Ausmaß des Schadens für Werbetreibende und Werbenetzwerke erheblich sein, auch wenn im Bericht keine konkreten Summen genannt werden.

Für Endnutzer bestehen die Hauptrisiken in einem erhöhten Verbrauch von Datenvolumen und Geräte-Ressourcen durch versteckte WebView-Instanzen sowie in einer potenziellen Erweiterung der Funktionalität der schädlichen Apps in der Zukunft – die mehrstufige Architektur erlaubt es den Betreibern, beliebige Payloads nachzuliefern.

Empfehlungen

Die vollständige Liste der Apps, die mit Trapdoor in Verbindung stehen, wurde von HUMAN veröffentlicht. Android-Nutzern wird empfohlen:

1. Installierte Apps mit der veröffentlichten Liste abzugleichen und Übereinstimmungen umgehend zu löschen
2. Utility-Apps von wenig bekannten Entwicklern kritisch zu prüfen – genau diese Kategorie (PDF-Viewer, Reinigungs-Tools) wurde als primärer Angriffsvektor genutzt
3. Keine Apps über Links in Werbeanzeigen innerhalb anderer Apps zu installieren, insbesondere wenn sie sich als Systemupdates ausgeben
4. Die Geräteeinstellungen auf Apps mit ungewöhnlich hohem Datenverbrauch im Hintergrund zu überprüfen

Auch wenn Google die identifizierten Apps aus dem Play Store entfernt hat, betrifft dies nicht bereits installierte Exemplare auf den Geräten der Nutzer. Angesichts des selbstfinanzierenden Charakters der Operation und des Einsatzes selektiver Aktivierungstechniken, die die Erkennung durch Standardprüfungen erschweren, bleibt die manuelle Überprüfung der installierten Apps anhand der HUMAN-Liste der zuverlässigste Weg, eine Kompromittierung festzustellen.