🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma nova operação de fraude publicitária e malvertising chamada Trapdoor, visando usuários de dispositivos Android.
A atividade, de acordo com a equipe de pesquisa e inteligência de ameaças Satori da HUMAN, abrangeu 455 aplicativos Android maliciosos e 183 domínios de comando e controle (C2) de propriedade dos atores da ameaça, transformando a infraestrutura em um canal para fraudes em vários estágios.
“Os usuários baixam involuntariamente um aplicativo de propriedade do agente de ameaça, geralmente um aplicativo de estilo utilitário, como um visualizador de PDF ou uma ferramenta de limpeza de dispositivo”, detalharam os pesquisadores Louisa Abel, Ryan Joye, João Marques, João Santos e Adam Sell em um relatório compartilhado com The Hacker News.
“Esses aplicativos acionam campanhas de malvertising que coagem os usuários a baixar aplicativos adicionais de propriedade dos atores da ameaça. Os aplicativos secundários lançam WebViews ocultos, carregam domínios HTML5 de propriedade dos atores da ameaça e solicitam anúncios.”
A campanha, acrescentou a empresa de segurança cibernética, é autossustentável na medida em que a instalação de um aplicativo orgânico se transforma em um ciclo de geração de receita ilícita que pode ser usado para financiar campanhas subsequentes de malvertising. Um aspecto notável da atividade é o uso de sites de saque baseados em HTML5, um padrão observado em grupos de ameaças anteriores rastreados como SlopAds, Low5 e BADBOX 2.0.
No auge da operação, o Trapdoor contabilizou 659 milhões de solicitações de lances por dia, com aplicativos Android vinculados ao esquema baixados mais de 24 milhões de vezes. O tráfego associado à campanha originou-se principalmente dos EUA, que absorveu mais de três quartos do volume de tráfego.
"Os agentes de ameaças por trás do Trapdoor também abusam de ferramentas de atribuição de instalação (tecnologia projetada para ajudar profissionais de marketing legítimos a rastrear como os usuários descobrem aplicativos) para permitir comportamento malicioso apenas em usuários adquiridos por meio de campanhas publicitárias executadas por agentes de ameaças, ao mesmo tempo que o suprimem para downloads orgânicos dos aplicativos associados", disse HUMAN.
O Trapdoor combina duas abordagens diferentes, distribuição de malvertising e monetização oculta de fraude publicitária, onde usuários desavisados acabam baixando aplicativos falsos disfarçados de utilitários aparentemente inofensivos que atuam como um canal para veicular anúncios maliciosos para outros aplicativos Trapdoor, que são projetados para realizar fraudes de toque automatizadas, bem como lançar WebViews ocultos, carregar domínios de lavagem controlados por atores de ameaças e solicitar anúncios.
Vale ressaltar que apenas o aplicativo de segunda etapa é utilizado para desencadear fraudes. Depois que o aplicativo baixado organicamente é iniciado, ele exibe alertas pop-up falsos que imitam mensagens de atualização do aplicativo para induzir os usuários a instalar o aplicativo do próximo estágio.
Esse comportamento também indica que o payload é ativado apenas para quem é vítima da campanha publicitária. Em outras palavras, qualquer pessoa que baixar o aplicativo diretamente da Play Store ou fazer o sideload dele não será alvo. Além desta técnica de ativação seletiva, o Trapdoor emprega várias técnicas de anti-análise e ofuscação para evitar a detecção.
“Esta operação usa software real e cotidiano e múltiplas técnicas de ofuscação e anti-análise – como a personificação de SDKs legítimos para se misturar – para ajudar a fundir distribuição de malvertising, monetização de fraude de anúncios ocultos e distribuição de malware em vários estágios”, disse Lindsay Kaye, vice-presidente de inteligência de ameaças da HUMAN.
Após a divulgação responsável, o Google tomou medidas para remover todos os aplicativos maliciosos identificados da Google Play Store, neutralizando efetivamente a operação. A lista completa de aplicativos Android está disponível aqui.
“O Trapdoor mostra como fraudadores determinados transformam as instalações diárias de aplicativos em um canal de autofinanciamento para malvertising e fraude publicitária”, disse Gavin Reid, diretor de segurança da informação da HUMAN. “Este é outro exemplo de agentes de ameaças que cooptam ferramentas legítimas – como software de atribuição – para ajudar em suas campanhas de fraude e ajudá-los a evitar a detecção”.
“Ao encadear aplicativos utilitários, domínios de saque HTML5 e técnicas de ativação seletiva que se escondem dos pesquisadores, esses atores estão em constante evolução, e nossa equipe Satori está comprometida em rastreá-los e interrompê-los em grande escala.”
A atividade, de acordo com a equipe de pesquisa e inteligência de ameaças Satori da HUMAN, abrangeu 455 aplicativos Android maliciosos e 183 domínios de comando e controle (C2) de propriedade dos atores da ameaça, transformando a infraestrutura em um canal para fraudes em vários estágios.
“Os usuários baixam involuntariamente um aplicativo de propriedade do agente de ameaça, geralmente um aplicativo de estilo utilitário, como um visualizador de PDF ou uma ferramenta de limpeza de dispositivo”, detalharam os pesquisadores Louisa Abel, Ryan Joye, João Marques, João Santos e Adam Sell em um relatório compartilhado com The Hacker News.
“Esses aplicativos acionam campanhas de malvertising que coagem os usuários a baixar aplicativos adicionais de propriedade dos atores da ameaça. Os aplicativos secundários lançam WebViews ocultos, carregam domínios HTML5 de propriedade dos atores da ameaça e solicitam anúncios.”
A campanha, acrescentou a empresa de segurança cibernética, é autossustentável na medida em que a instalação de um aplicativo orgânico se transforma em um ciclo de geração de receita ilícita que pode ser usado para financiar campanhas subsequentes de malvertising. Um aspecto notável da atividade é o uso de sites de saque baseados em HTML5, um padrão observado em grupos de ameaças anteriores rastreados como SlopAds, Low5 e BADBOX 2.0.
No auge da operação, o Trapdoor contabilizou 659 milhões de solicitações de lances por dia, com aplicativos Android vinculados ao esquema baixados mais de 24 milhões de vezes. O tráfego associado à campanha originou-se principalmente dos EUA, que absorveu mais de três quartos do volume de tráfego.
"Os agentes de ameaças por trás do Trapdoor também abusam de ferramentas de atribuição de instalação (tecnologia projetada para ajudar profissionais de marketing legítimos a rastrear como os usuários descobrem aplicativos) para permitir comportamento malicioso apenas em usuários adquiridos por meio de campanhas publicitárias executadas por agentes de ameaças, ao mesmo tempo que o suprimem para downloads orgânicos dos aplicativos associados", disse HUMAN.
O Trapdoor combina duas abordagens diferentes, distribuição de malvertising e monetização oculta de fraude publicitária, onde usuários desavisados acabam baixando aplicativos falsos disfarçados de utilitários aparentemente inofensivos que atuam como um canal para veicular anúncios maliciosos para outros aplicativos Trapdoor, que são projetados para realizar fraudes de toque automatizadas, bem como lançar WebViews ocultos, carregar domínios de lavagem controlados por atores de ameaças e solicitar anúncios.
Vale ressaltar que apenas o aplicativo de segunda etapa é utilizado para desencadear fraudes. Depois que o aplicativo baixado organicamente é iniciado, ele exibe alertas pop-up falsos que imitam mensagens de atualização do aplicativo para induzir os usuários a instalar o aplicativo do próximo estágio.
Esse comportamento também indica que o payload é ativado apenas para quem é vítima da campanha publicitária. Em outras palavras, qualquer pessoa que baixar o aplicativo diretamente da Play Store ou fazer o sideload dele não será alvo. Além desta técnica de ativação seletiva, o Trapdoor emprega várias técnicas de anti-análise e ofuscação para evitar a detecção.
“Esta operação usa software real e cotidiano e múltiplas técnicas de ofuscação e anti-análise – como a personificação de SDKs legítimos para se misturar – para ajudar a fundir distribuição de malvertising, monetização de fraude de anúncios ocultos e distribuição de malware em vários estágios”, disse Lindsay Kaye, vice-presidente de inteligência de ameaças da HUMAN.
Após a divulgação responsável, o Google tomou medidas para remover todos os aplicativos maliciosos identificados da Google Play Store, neutralizando efetivamente a operação. A lista completa de aplicativos Android está disponível aqui.
“O Trapdoor mostra como fraudadores determinados transformam as instalações diárias de aplicativos em um canal de autofinanciamento para malvertising e fraude publicitária”, disse Gavin Reid, diretor de segurança da informação da HUMAN. “Este é outro exemplo de agentes de ameaças que cooptam ferramentas legítimas – como software de atribuição – para ajudar em suas campanhas de fraude e ajudá-los a evitar a detecção”.
“Ao encadear aplicativos utilitários, domínios de saque HTML5 e técnicas de ativação seletiva que se escondem dos pesquisadores, esses atores estão em constante evolução, e nossa equipe Satori está comprometida em rastreá-los e interrompê-los em grande escala.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #esquema #de #fraude #publicitária #android #trapdoor #atingiu #659 #milhões #de #solicitações #de #lance #diário #usando #455 #aplicativos
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário