Onderzoekers hebben details vrijgegeven over een nieuwe Android-adfraudecampagne genaamd Trapdoor, die gericht is op gebruikers van Android-apparaten. Volgens het Satori Threat Intelligence and Research Team van HUMAN omvatte de operatie 455 kwaadaardige Android-apps en 183 command-and-control (C2) domeinen die eigendom zijn van de aanvallers. Deze infrastructuur werd gebruikt als een pijplijn voor een meerfasige fraude- en malvertisingcampagne.

Gebruikers downloaden onbewust een app die eigendom is van de aanvallers, vaak een utility-app zoals een PDF-viewer of een schoonmaaktool voor het apparaat. Deze apps activeren malvertisingcampagnes die gebruikers dwingen om extra kwaadaardige apps te installeren. De secundaire apps openen verborgen WebViews, laden HTML5-domeinen van de aanvallers en vragen advertenties op. Dit creëert een zelfvoorzienende cyclus waarbij een organische app-installatie wordt omgezet in een illegale inkomstenstroom die gebruikt kan worden om vervolgcampagnes te financieren. Een opvallend kenmerk is het gebruik van HTML5-gebaseerde cashout-sites, een patroon dat eerder werd gezien bij dreigingsgroepen als SlopAds, Low5 en BADBOX 2.0.

Op het hoogtepunt van de operatie genereerde Trapdoor dagelijks 659 miljoen biedingsverzoeken, terwijl de betrokken Android-apps meer dan 24 miljoen keer werden gedownload. Het merendeel van het verkeer kwam uit de Verenigde Staten, goed voor meer dan driekwart van het totale volume. De aanvallers misbruikten ook installatietoewijzingstools, die normaal gesproken legitieme marketeers helpen bij het volgen van app-installaties. Hierdoor werd kwaadaardig gedrag alleen geactiveerd bij gebruikers die via de malafide advertentiecampagnes waren binnengekomen, terwijl organische downloads werden uitgesloten van deze frauduleuze activiteiten.

Trapdoor combineert malvertisingdistributie met verborgen advertentiefraude, waarbij gebruikers valse apps downloaden die zich voordoen als onschuldige utilities. Deze apps dienen als kanaal voor het tonen van kwaadaardige advertenties voor andere Trapdoor-apps, die geautomatiseerde touch-fraude uitvoeren, verborgen WebViews openen, door de aanvallers gecontroleerde domeinen laden en advertenties opvragen. Alleen de tweede app in de keten triggert de fraude. De aanvankelijk organisch gedownloade app toont valse pop-upmeldingen die lijken op app-updateberichten om gebruikers te misleiden tot het installeren van de volgende app. Dit betekent dat de payload alleen wordt geactiveerd bij slachtoffers van de advertentiecampagne, terwijl directe downloads uit de Play Store of sideloads niet worden getroffen.

Naast deze selectieve activatietechniek gebruikt Trapdoor diverse anti-analyse- en obfuscatiemethoden om detectie te voorkomen. Zo imiteert de operatie legitieme SDK's om onopvallend te blijven en de combinatie van malvertising, verborgen advertentiefraude en meerfasige malwaredistributie mogelijk te maken. Na een verantwoordelijke melding heeft Google alle geïdentificeerde kwaadaardige apps verwijderd uit de Google Play Store, waarmee de operatie effectief is geneutraliseerd. De volledige lijst met betrokken Android-apps is hier beschikbaar. Trapdoor illustreert hoe fraudeurs legitieme tools misbruiken om hun campagnes te financieren en detectie te ontwijken. Meer details zijn gedetailleerd beschreven door HUMAN.