Trapdoor Ad Fraud
Des chercheurs en cybersécurité ont mis au jour une opération sophistiquée de fraude publicitaire et de malvertising, baptisée Trapdoor, qui cible spécifiquement les utilisateurs Android via un vaste réseau d'applications malveillantes et une infrastructure contrôlée par les attaquants. La campagne a impliqué 455 applications Android malveillantes et 183 domaines de commande et de contrôle (C2), créant un écosystème étendu conçu pour faciliter des activités frauduleuses en plusieurs étapes.
L'opération débute lorsque les utilisateurs installent, à leur insu, des applications contrôlées par des pirates, généralement dissimulées sous l'apparence d'utilitaires inoffensifs tels que des lecteurs PDF, des applications de nettoyage de téléphone ou d'optimisation d'appareil. Ces applications, en apparence légitimes, lancent ensuite des campagnes de malvertising incitant les victimes à télécharger d'autres logiciels malveillants.
Table des matières
Une chaîne d’infection à plusieurs étapes alimente la fraude publicitaire cachée
Les applications secondaires constituent le cœur de l'opération frauduleuse. Une fois installées, elles lancent discrètement des WebViews cachées, se connectent à des domaines HTML5 gérés par l'attaquant et affichent en continu des publicités en arrière-plan. Ces applications sont également capables de réaliser des fraudes tactiles automatisées, en générant de fausses interactions publicitaires à l'insu de l'utilisateur.
L'une des caractéristiques essentielles de Trapdoor est son modèle économique autosuffisant. L'installation d'une simple application d'apparence légitime peut engendrer un cycle continu de revenus qui finance de nouvelles campagnes de malvertising. Les chercheurs ont également observé l'utilisation d'une infrastructure de redistribution basée sur HTML5, une tactique déjà associée à des groupes de menaces tels que SlopAds, Low5 et BADBOX 2.0.
À son apogée, l'infrastructure Trapdoor a généré environ 659 millions de requêtes d'enchères par jour. Les applications liées à l'opération ont cumulé plus de 24 millions de téléchargements, la majorité du trafic provenant des États-Unis, représentant plus des trois quarts de l'activité de la campagne.
L’activation sélective permet d’échapper à la détection
Les auteurs de l'attaque Trapdoor ont exploité les outils d'attribution d'installation, des technologies couramment utilisées par les spécialistes du marketing légitimes pour suivre la manière dont les utilisateurs découvrent les applications. En manipulant ces systèmes, les cybercriminels se sont assurés que les fonctionnalités malveillantes ne s'activaient que pour les utilisateurs acquis via des campagnes publicitaires contrôlées par les attaquants.
Ce mécanisme d'activation sélective a considérablement compliqué la détection. Les utilisateurs ayant téléchargé les applications directement depuis le Google Play Store ou les ayant installées par chargement latéral n'ont souvent pas été confrontés à des comportements malveillants. En effet, le code malveillant ne s'activait qu'après que les victimes aient interagi avec des publicités trompeuses ou de fausses notifications de mise à jour diffusées dans le cadre de cette campagne.
Les premières applications utilitaires affichaient des notifications pop-up frauduleuses conçues pour imiter les alertes de mise à jour logicielle, incitant les utilisateurs à installer le logiciel malveillant de deuxième niveau responsable des opérations de fraude publicitaire.
Afin d'échapper davantage à l'analyse et aux contrôles de sécurité, Trapdoor a eu recours à de multiples techniques d'anti-analyse et d'obfuscation. L'opération usurpait fréquemment l'identité de SDK légitimes et intégrait des composants malveillants à des logiciels par ailleurs fonctionnels, rendant ainsi l'infrastructure plus difficile à identifier pour les chercheurs et les systèmes de sécurité automatisés.
Google perturbe l’opération, mais le paysage des menaces évolue.
Suite à la divulgation responsable des informations par les chercheurs, Google a supprimé les applications malveillantes identifiées du Google Play Store, perturbant ainsi l'infrastructure de la campagne.
L'opération Trapdoor illustre comment les cybercriminels continuent d'instrumentaliser des technologies légitimes, telles que les plateformes d'attribution et les écosystèmes publicitaires, pour créer des réseaux de fraude évolutifs et résilients. En combinant des applications utilitaires, des WebViews dissimulées, des domaines de paiement HTML5 et des stratégies d'activation sélectives, les auteurs de cette campagne ont mis en place un système hautement adaptable, capable de prendre en charge à la fois la diffusion de publicités malveillantes et la fraude publicitaire à grande échelle.
Les chercheurs ont souligné que des opérations comme Trapdoor mettent en évidence la nature en constante évolution des menaces mobiles, où les fraudeurs s'appuient de plus en plus sur la furtivité, la livraison de charges utiles par étapes et des logiciels d'apparence légitime pour contourner la détection et maintenir des chaînes de monétisation à long terme.
