El equipo de HUMAN Satori Threat Intelligence ha descubierto la operación fraudulenta a gran escala Trapdoor, dirigida a usuarios de Android. Según los investigadores, el esquema abarcaba 455 aplicaciones maliciosas y 183 dominios de infraestructura de mando y control (C2), conformando una cadena multinivel de fraude publicitario. Las aplicaciones relacionadas con la campaña se descargaron más de 24 millones de veces y, en el punto álgido de su actividad, la operación generaba hasta 659 millones de solicitudes de puja publicitaria (bid requests) al día. Según se informa, más de tres cuartas partes del tráfico procedían de EE. UU. Google eliminó las aplicaciones identificadas de Play Store tras la divulgación responsable de la información; sin embargo, los usuarios que las hayan instalado con anterioridad deberían revisar sus dispositivos.

Cadena de infección en múltiples etapas

Según el informe de HUMAN, la operación Trapdoor utiliza un modelo de dos etapas. En la primera fase, el usuario descarga una aplicación utilitaria aparentemente inofensiva —un visor de archivos PDF, una herramienta de limpieza del dispositivo u otra utilidad similar—. Esta aplicación, por sí misma, no realiza acciones fraudulentas, pero pone en marcha una campaña publicitaria maliciosa: se muestran al usuario notificaciones emergentes falsas que simulan mensajes de actualización de aplicaciones, con el objetivo de inducirle a instalar una segunda aplicación.

Es precisamente esta segunda aplicación la que actúa como principal herramienta de fraude. Según los investigadores, lleva a cabo las siguientes acciones:

• Inicia componentes WebView ocultos, invisibles para el usuario
• Carga dominios HTML5 controlados por los atacantes
• Solicita y muestra anuncios de forma automática en modo oculto
• Realiza fraude automatizado con imitación de toques (touch fraud)

La característica clave de Trapdoor es el carácter autosostenible de la operación. Los ingresos obtenidos mediante la visualización oculta de anuncios se destinan a financiar nuevas campañas publicitarias maliciosas que atraen a más usuarios. De este modo, cada instalación orgánica de la aplicación se convierte en una fuente de recursos para ampliar el esquema.

Técnicas para evadir la detección

Los operadores de Trapdoor emplean varios métodos llamativos para obstaculizar el análisis. El más significativo es el abuso de las herramientas de atribución de instalaciones. Estas herramientas, diseñadas para los profesionales de marketing legítimos, permiten rastrear cómo ha encontrado el usuario una aplicación. Los atacantes utilizan esta tecnología para una activación selectiva: el comportamiento malicioso solo se activa en los usuarios captados a través de campañas publicitarias controladas por los propios atacantes. Se presupone que los usuarios que descargan la aplicación directamente desde Google Play Store o la instalan desde una fuente de terceros no son objeto de ataque.

Este enfoque dificulta considerablemente que los investigadores y los sistemas automáticos de revisión de las tiendas de aplicaciones detecten la amenaza: en las pruebas estándar, la aplicación se comporta de forma legítima. Además de esto, Trapdoor utiliza:

• Imitación de SDK legítimos para enmascarar el código malicioso
• Múltiples técnicas de ofuscación
• Métodos de resistencia al análisis dinámico

Vínculos con campañas anteriores

Los investigadores de HUMAN señalan que el uso de sitios HTML5 para el retiro de fondos (cashout) es un patrón observado anteriormente en los clústeres de amenazas SlopAds, Low5 y BADBOX 2.0. Sin embargo, debe tenerse en cuenta que esta relación se basa en la evaluación de un único grupo de investigación y no ha sido confirmada de forma independiente. La atribución concreta de los operadores de Trapdoor no se ha revelado: los atacantes siguen sin ser identificados.

Alcance del impacto y usuarios afectados

La concentración geográfica del tráfico en EE. UU. (más del 75%) apunta a un direccionamiento específico de la audiencia angloparlante, probablemente motivado por el mayor valor de las impresiones publicitarias en el mercado estadounidense. Con 24 millones de descargas y 659 millones de solicitudes publicitarias diarias en el máximo de actividad, la magnitud del daño financiero para los anunciantes y las redes publicitarias puede ser considerable, aunque el informe no especifica cifras concretas.

Para los usuarios finales, los principales riesgos incluyen un mayor consumo de datos y de recursos del dispositivo debido a los WebView ocultos, así como la posible ampliación futura de la funcionalidad de las aplicaciones maliciosas: la arquitectura multinivel permite a los operadores distribuir cargas útiles arbitrarias.

Recomendaciones

La lista completa de aplicaciones relacionadas con Trapdoor ha sido publicada por HUMAN. Se recomienda a los usuarios de Android:

1. Comprobar las aplicaciones instaladas comparándolas con la lista publicada y eliminar de inmediato cualquier coincidencia
2. Evaluar críticamente las aplicaciones utilitarias de desarrolladores poco conocidos —precisamente esta categoría (visores de PDF, herramientas de limpieza) se utilizó como vector inicial—
3. No instalar aplicaciones a partir de enlaces en anuncios dentro de otras aplicaciones, especialmente si se camuflan como actualizaciones del sistema
4. Revisar la configuración del dispositivo para detectar aplicaciones con un consumo inusualmente alto de tráfico en segundo plano

Aunque Google ha eliminado las aplicaciones identificadas de Play Store, esto no afecta a las instancias ya instaladas en los dispositivos de los usuarios. Teniendo en cuenta el carácter autofinanciado de la operación y el uso de técnicas de activación selectiva que dificultan su detección mediante los mecanismos de revisión estándar, la comprobación manual de las aplicaciones instaladas basándose en la lista de HUMAN sigue siendo el método más fiable para detectar una posible infección.