Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe advertentiefraude en malvertising-operatie genaamd Valluik gericht op gebruikers van Android-apparaten.
Volgens het Satori Threat Intelligence and Research Team van HUMAN omvatte de activiteit 455 kwaadaardige Android-apps en 183 command-and-control (C2)-domeinen die eigendom zijn van bedreigingsactoren, waardoor de infrastructuur veranderde in een pijplijn voor fraude in meerdere fasen.
“Gebruikers downloaden onbewust een app die eigendom is van een bedreigingsacteur, vaak een app in de stijl van een hulpprogramma, zoals een pdf-viewer of een tool voor het opschonen van apparaten”, beschrijven onderzoekers Louisa Abel, Ryan Joye, João Marques, João Santos en Adam Sell in een rapport gedeeld met The Hacker News.
“Deze apps activeren malvertisingcampagnes die gebruikers dwingen om extra apps van de bedreigingsacteur te downloaden. De secundaire apps lanceren verborgen WebViews, laden HTML5-domeinen van de bedreigingsacteur en vragen om advertenties.”
De campagne, zo voegde het cyberbeveiligingsbedrijf toe, is zelfvoorzienend in die zin dat een organische app-installatie verandert in een illegale cyclus voor het genereren van inkomsten die kan worden gebruikt om vervolgmalvertisingcampagnes te financieren. Een opmerkelijk aspect van de activiteit is het gebruik van op HTML5 gebaseerde uitbetalingssites, een patroon dat werd waargenomen in eerdere bedreigingsclusters die werden gevolgd als SlopAds, Low5 en BADBOX 2.0.
Op het hoogtepunt van de operatie was Trapdoor verantwoordelijk voor 659 miljoen biedingsverzoeken per dag, waarbij Android-apps die aan het plan waren gekoppeld meer dan 24 miljoen keer werden gedownload. Het verkeer dat verband hield met de campagne was voornamelijk afkomstig uit de VS, dat ruim driekwart van het verkeersvolume voor zijn rekening nam.
“De bedreigingsactoren achter Trapdoor maken ook misbruik van install attributietools (technologie die is ontworpen om legitieme marketeers te helpen volgen hoe gebruikers apps ontdekken) om kwaadaardig gedrag alleen mogelijk te maken bij gebruikers die zijn verkregen via door bedreigingsactoren uitgevoerde advertentiecampagnes, terwijl ze dit onderdrukken voor organische downloads van de bijbehorende apps”, aldus HUMAN.
Trapdoor combineert twee ongelijksoortige benaderingen: malvertising-distributie en het genereren van inkomsten uit verborgen advertentiefraude, waarbij nietsvermoedende gebruikers uiteindelijk nep-apps downloaden die zich voordoen als schijnbaar onschadelijke hulpprogramma’s die fungeren als kanaal voor het weergeven van kwaadaardige advertenties voor andere Trapdoor-apps, die zijn ontworpen om geautomatiseerde aanraakfraude uit te voeren, evenals verborgen WebViews te lanceren, door bedreigingsactor gecontroleerde wash-out-domeinen te laden en advertenties aan te vragen.
Het is vermeldenswaard dat alleen de app in de tweede fase wordt gebruikt om fraude te veroorzaken. Zodra de organisch gedownloade app wordt gelanceerd, worden er valse pop-upwaarschuwingen weergegeven die app-updateberichten nabootsen om gebruikers te misleiden om de app in de volgende fase te installeren.
Dit gedrag geeft ook aan dat de payload alleen wordt geactiveerd voor degenen die het slachtoffer worden van de reclamecampagne. Met andere woorden: iedereen die de app rechtstreeks vanuit de Play Store downloadt of sideloadt, wordt niet getarget. Naast deze selectieve activeringstechniek maakt Trapdoor gebruik van verschillende anti-analyse- en verduisteringstechnieken om detectie te omzeilen.
“Deze operatie maakt gebruik van echte, alledaagse software en meerdere verduisterings- en anti-analysetechnieken – zoals het nabootsen van legitieme SDK’s om op te gaan in – om de distributie van malvertising, het genereren van inkomsten uit verborgen advertentiefraude en de distributie van malware in meerdere fasen te helpen fuseren”, zegt Lindsay Kaye, vice-president van bedreigingsinformatie bij HUMAN.
Na verantwoorde openbaarmaking heeft Google stappen ondernomen om alle geïdentificeerde kwaadaardige apps uit de Google Play Store te verwijderen, waardoor de operatie effectief wordt geneutraliseerd. De volledige lijst met Android-apps is hier beschikbaar.
“Trapdoor laat zien hoe vastberaden fraudeurs alledaagse app-installaties omzetten in een zelffinancieringspijplijn voor malvertising en advertentiefraude”, zegt Gavin Reid, Chief Information Security Officer bij HUMAN. “Dit is opnieuw een voorbeeld van bedreigingsactoren die legitieme tools – zoals attributiesoftware – gebruiken om hun fraudecampagnes te ondersteunen en detectie te omzeilen.”
“Door hulpprogramma-apps, HTML5-uitbetalingsdomeinen en selectieve activeringstechnieken die zich voor onderzoekers verbergen aan elkaar te koppelen, evolueren deze actoren voortdurend, en ons Satori-team streeft ernaar deze op grote schaal te volgen en te ontwrichten.”
