Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Trapdoor Ad Fraud

Trapdoor Ad Fraud

Por Mezo en Malware móvil
Traducir a:

Investigadores de ciberseguridad han descubierto una sofisticada operación de fraude publicitario y publicidad maliciosa conocida como Trapdoor, que ataca específicamente a usuarios de Android mediante una extensa red de aplicaciones maliciosas e infraestructura controlada por el atacante. La campaña involucró 455 aplicaciones maliciosas para Android y 183 dominios de comando y control (C2), creando un extenso ecosistema diseñado para respaldar actividades fraudulentas en múltiples etapas.

La operación comienza cuando los usuarios instalan sin saberlo aplicaciones controladas por el atacante, generalmente disfrazadas de herramientas inofensivas como lectores de PDF, limpiadores de teléfono o aplicaciones de optimización de dispositivos. Estas aplicaciones, aparentemente legítimas, inician campañas de publicidad maliciosa que presionan a las víctimas para que descarguen software malicioso adicional.

Una cadena de infección en múltiples etapas impulsa el fraude publicitario oculto.

Las aplicaciones de la fase secundaria constituyen el núcleo de la operación fraudulenta. Una vez instaladas, ejecutan silenciosamente WebViews ocultas, se conectan a dominios HTML5 operados por el atacante y solicitan anuncios continuamente en segundo plano. Estas aplicaciones también son capaces de realizar fraude táctil automatizado, generando interacciones publicitarias falsas sin el conocimiento del usuario.

Una característica clave de Trapdoor es su modelo de negocio autosostenible. Una sola instalación de una aplicación de apariencia legítima puede convertirse en un ciclo continuo de generación de ingresos que financia campañas de publicidad maliciosa adicionales. Los investigadores también observaron el uso de una infraestructura de pago basada en HTML5, una táctica previamente asociada con grupos de amenazas como SlopAds, Low5 y BADBOX 2.0.

En su momento de mayor actividad, la infraestructura de Trapdoor generó aproximadamente 659 millones de solicitudes de pujas diarias. Las aplicaciones conectadas a la operación acumularon más de 24 millones de descargas, y la mayor parte del tráfico provino de Estados Unidos, lo que representó más de las tres cuartas partes de la actividad de la campaña.

La activación selectiva ayuda a evadir la detección.

Los atacantes responsables de Trapdoor abusaron de las herramientas de atribución de instalaciones, tecnologías que suelen utilizar los anunciantes legítimos para rastrear cómo los usuarios descubren las aplicaciones. Al manipular estos sistemas, los ciberdelincuentes se aseguraron de que la funcionalidad maliciosa se activara únicamente para los usuarios captados a través de campañas publicitarias controladas por ellos.

Este mecanismo de activación selectiva complicó considerablemente los esfuerzos de detección. Los usuarios que descargaron las aplicaciones directamente de Google Play Store o las instalaron mediante métodos de carga lateral a menudo no experimentaron comportamientos maliciosos. En cambio, el software malicioso se activaba solo después de que las víctimas interactuaran con anuncios engañosos o avisos de actualización falsos distribuidos a través de la campaña.

Las aplicaciones de utilidad iniciales mostraban notificaciones emergentes fraudulentas diseñadas para imitar las alertas de actualización de software, convenciendo a los usuarios de instalar el malware de segunda fase responsable de las operaciones de fraude publicitario.

Para evitar aún más el análisis y el escrutinio de seguridad, Trapdoor empleó múltiples técnicas anti-análisis y de ofuscación. La operación frecuentemente suplantaba la identidad de SDK legítimos e integraba componentes maliciosos en software que, de otro modo, funcionaría, lo que dificultaba la identificación de la infraestructura por parte de investigadores y sistemas de seguridad automatizados.

Google interrumpe la operación, pero el panorama de amenazas evoluciona.

Tras la denuncia responsable por parte de los investigadores, Google eliminó las aplicaciones maliciosas identificadas de Google Play Store, interrumpiendo así la infraestructura de la campaña.

La operación Trapdoor demuestra cómo los ciberdelincuentes siguen utilizando tecnologías legítimas, como plataformas de atribución y ecosistemas publicitarios, para crear redes de fraude escalables y resistentes. Mediante la combinación de aplicaciones con apariencia de utilidad, WebViews ocultas, dominios de retiro de fondos HTML5 y estrategias de activación selectiva, los responsables de la campaña establecieron un marco altamente adaptable capaz de soportar tanto publicidad maliciosa como fraude publicitario a gran escala.

Los investigadores destacaron que operaciones como Trapdoor ponen de manifiesto la naturaleza en rápida evolución de las amenazas móviles, donde los estafadores recurren cada vez más al sigilo, la entrega escalonada de cargas útiles y el software de apariencia legítima para eludir la detección y mantener flujos de monetización a largo plazo.

Tendencias

Estafa por correo electrónico de alerta de...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados siempre deben tratarse con precaución, especialmente cuando generan una sensación de urgencia o solicitan información confidencial. Los ciberdelincuentes suelen disfrazar los mensajes de phishing como notificaciones legítimas de proveedores de servicios de confianza para engañar a los destinatarios y obtener sus datos personales. Los correos electrónicos de...

Mas Visto

Cargando...