Команда HUMAN Satori Threat Intelligence викрила масштабну шахрайську операцію Trapdoor, націлену на користувачів Android. За даними дослідників, схема охоплювала 455 шкідливих додатків і 183 домени командної інфраструктури (C2), формуючи багаторівневий конвеєр рекламного шахрайства. Додатки, пов’язані з кампанією, було завантажено понад 24 мільйони разів, а на піку активності операція генерувала до 659 мільйонів рекламних запитів (bid requests) на добу. За повідомленнями, понад три чверті трафіку припадало на США. Google видалив виявлені додатки з Play Store після відповідального розкриття інформації, однак користувачам, які встановили ці додатки раніше, слід перевірити свої пристрої.

Багаторівневий ланцюг зараження

Згідно зі звітом HUMAN, операція Trapdoor використовує двоетапну модель. На першому етапі користувач завантажує зовні безпечний утилітарний додаток — програму для перегляду PDF-файлів, інструмент очищення пристрою або подібну утиліту. Сам по собі цей додаток не виконує шахрайських дій, але запускає шкідливу рекламну кампанію: користувачеві показують підроблені спливаючі сповіщення, що імітують повідомлення про оновлення додатків, аби спонукати його встановити другий додаток.

Саме другий додаток є основним інструментом шахрайства. За даними дослідників, він виконує такі дії:

• запускає приховані компоненти WebView, невидимі для користувача
• завантажує HTML5-домени, контрольовані зловмисниками
• автоматично запитує та відображає рекламу в прихованому режимі
• виконує автоматизоване шахрайство з імітацією дотиків (touch fraud)

Ключова особливість Trapdoor — самопідтримуваний характер операції. Дохід від прихованого показу реклами спрямовується на фінансування нових шкідливих рекламних кампаній, які залучають додаткових користувачів. Таким чином, кожне органічне встановлення додатка перетворюється на джерело коштів для розширення схеми.

Техніки ухилення від виявлення

Оператори Trapdoor застосовують кілька показових методів протидії аналізу. Найбільш значущий з них — зловживання інструментами атрибуції встановлень. Ці інструменти, призначені для легітимних маркетологів, дозволяють відстежувати, яким чином користувач виявив додаток. Зловмисники використовують цю технологію для селективної активації: шкідлива поведінка запускається лише в користувачів, залучених через контрольовані атакувальниками рекламні кампанії. Користувачі, які завантажили додаток безпосередньо з Google Play Store або встановили його зі стороннього джерела, імовірно не піддаються атаці.

Такий підхід суттєво ускладнює виявлення загрози дослідниками та автоматичними системами перевірки магазинів додатків: під час стандартного тестування додаток поводиться легітимно. Окрім цього, Trapdoor використовує:

• імітацію легітимних SDK для маскування шкідливого коду
• численні техніки обфускації
• методи протидії динамічному аналізу

Зв’язок із попередніми кампаніями

Дослідники HUMAN зазначають, що використання HTML5-сайтів для виведення коштів (cashout) — це патерн, який раніше спостерігався в кластерах загроз SlopAds, Low5 і BADBOX 2.0. Водночас слід враховувати, що цей зв’язок ґрунтується на оцінці однієї дослідницької групи й не підтверджений незалежно. Конкретна атрибуція операторів Trapdoor не розкрита — зловмисники залишаються неідентифікованими.

Масштаб впливу та постраждалі користувачі

Географічна концентрація трафіку в США (понад 75%) вказує на цілеспрямований таргетинг англомовної аудиторії, ймовірно зумовлений вищою вартістю рекламних показів на американському ринку. За наявності 24 мільйонів завантажень і 659 мільйонів щоденних рекламних запитів на піку активності масштаб фінансових втрат для рекламодавців і рекламних мереж може бути значним, хоча конкретні суми в звіті не наводяться.

Для кінцевих користувачів основні ризики включають підвищене споживання трафіку та ресурсів пристрою прихованими WebView, а також потенційне розширення функціональності шкідливих додатків у майбутньому — багаторівнева архітектура дозволяє операторам доставляти довільні корисні навантаження.

Рекомендації

Повний список додатків, пов’язаних із Trapdoor, оприлюднений HUMAN. Користувачам Android рекомендується:

1. перевірити встановлені додатки за оприлюдненим списком і негайно видалити збіги
2. критично оцінювати утилітарні додатки від маловідомих розробників — саме ця категорія (переглядачі PDF, інструменти очищення) використовувалась як первинний вектор
3. не встановлювати додатки за посиланнями з рекламних оголошень усередині інших додатків, особливо якщо вони маскуються під системні оновлення
4. перевірити налаштування пристрою на предмет додатків з незвично високим споживанням трафіку у фоновому режимі

Хоча Google видалив виявлені додатки з Play Store, це не стосується уже встановлених екземплярів на пристроях користувачів. З огляду на самофінансований характер операції та використання технік селективної активації, які ускладнюють виявлення стандартними засобами перевірки, ручна перевірка встановлених додатків за списком HUMAN залишається найнадійнішим способом виявлення компрометації.