كشف باحثو فريق Satori Threat Intelligence التابع لشركة HUMAN تفاصيل عملية احتيال إعلاني جديدة استهدفت مستخدمي أجهزة أندرويد، أطلق عليها اسم Trapdoor. الحملة اعتمدت على 455 تطبيقاً خبيثاً و183 نطاقاً للتحكم والسيطرة (C2)، لتتحول إلى بنية تحتية متكاملة للاحتيال متعدد المراحل.
كيف تعمل حملة Trapdoor؟
المستخدمون كانوا يقومون بتنزيل تطبيقات تبدو طبيعية مثل أدوات عرض ملفات PDF أو تطبيقات تنظيف الجهاز. هذه التطبيقات تعمل كمرحلة أولى لتشغيل حملات الإعلانات الخبيثة، حيث تُجبر المستخدم على تنزيل تطبيقات إضافية مملوكة لنفس المهاجمين.
التطبيقات الثانوية بدورها تُطلق WebViews مخفية، وتحمّل نطاقات HTML5 خاضعة لسيطرة المهاجمين، وتبدأ في إرسال طلبات إعلانات مزيفة. هذه الدورة الذاتية التمويل تجعل كل عملية تثبيت عضوية تتحول إلى مصدر دخل غير مشروع يُستخدم لتمويل حملات جديدة.
حجم العملية وتأثيرها
في ذروة نشاطها، أنتجت حملة Trapdoor أكثر من 659 مليون طلب مزايدة يومياً، مع أكثر من 24 مليون عملية تنزيل للتطبيقات المرتبطة بها. الغالبية العظمى من حركة المرور جاءت من الولايات المتحدة، بنسبة تجاوزت ثلاثة أرباع الحجم الكلي.
اللافت أن المهاجمين استغلوا أدوات إسناد التثبيت، وهي تقنيات مشروعة يستخدمها المسوقون لتتبع كيفية اكتشاف المستخدمين للتطبيقات، لكنهم وظفوها لتفعيل السلوك الخبيث فقط عند المستخدمين الذين جرى استهدافهم عبر الحملات الإعلانية، بينما تم تعطيله عند التنزيلات العضوية من متجر Google Play.
تقنيات التمويه والتجنب
اعتمدت Trapdoor على مجموعة من تقنيات إخفاء الهوية، مثل تقليد حزم SDK شرعية للاندماج في البيئة الطبيعية للتطبيقات، واستخدام رسائل منبثقة مزيفة تحاكي تحديثات التطبيقات لخداع المستخدمين لتنزيل المرحلة الثانية.
هذا السلوك الانتقائي يعني أن الحمولة الخبيثة لا تُفعل إلا عند الضحايا الذين وقعوا في فخ الحملة الإعلانية، بينما يبقى المستخدمون الذين قاموا بالتنزيل المباشر بعيدين عن الاستهداف، ما يصعّب على الباحثين الأمنيين اكتشاف الأنماط الخبيثة.
استجابة جوجل والنتائج
بعد الإبلاغ المسؤول، قامت Google بإزالة جميع التطبيقات الخبيثة المرتبطة بالحملة من متجر Google Play، ما أدى إلى تعطيل البنية التحتية الاحتيالية.
ومع ذلك، يرى خبراء الأمن أن Trapdoor يمثل مثالاً جديداً على كيفية استغلال المهاجمين للتطبيقات اليومية العادية وتحويلها إلى قنوات للاحتيال الإعلاني والبرمجيات الخبيثة، مع دمج تقنيات متعددة مثل WebViews المخفية ونطاقات HTML5 لتوليد أرباح غير مشروعة على نطاق واسع.
