Дослідники компанії Human Security виявили масштабну шахрайську мережу під назвою Trapdoor, яка використовувала 455 додатків для Android для реалізації рекламного шахрайства. Ці програми поширювалися через офіційний магазин Google Play Store і маскувалися під цілком нешкідливі утиліти, наприклад звичайні зчитувачі документів у форматі PDF. Загальна кількість завантажень цих програм на пристрої користувачів перевищила 24 мільйони, що свідчить про високу довіру власників смартфонів до контенту, який розміщується на офіційній платформі корпорації Google.
Схема роботи зловмисників базувалася на прихованому механізмі оновлення програмного забезпечення. Після встановлення користувачем цілком функціональної програми на екрані з’являлося сповіщення про необхідність встановлення оновлення. Насправді замість покращення продуктивності пристрій завантажував іншу приховану програму. Цей вторинний компонент працював у фоновому режимі, не відображаючи жодних інтерфейсів для користувача, і активував невидимі вікна WebView, які безперервно генерували запити до рекламних серверів для імітації перегляду банерів рекламодавцями, що ніколи не бачили цієї реклами.
Масштаби діяльності шахраїв виявилися надзвичайно великими для такого типу зловмисного програмного забезпечення, оскільки на піку своєї активності мережа Trapdoor генерувала 659 мільйонів фальшивих рекламних запитів кожного дня. Компанія Google була вимушена видалити всі 455 виявлених додатків зі свого магазину після того, як отримала звіт від аналітиків Human Security. Використання 183 командних серверів дозволяло зловмисникам гнучко керувати інфраструктурою та масштабувати обсяги фінансових махінацій, спрямованих на виснаження бюджетів рекламних компаній по всьому світу.
Експерти з безпеки підкреслюють, що успіх подібних операцій пояснюється інтеграцією шкідливого програмного забезпечення з легітимними каналами дистрибуції. Цей інцидент з черговим видаленням додатків з Play Store є нагадуванням про те, що автоматичні перевірки безпеки магазинів програм не завжди здатні виявити приховані механізми, які активуються вже після встановлення на пристрій. Взаємозв’язок між малвертайзингом, де реклама використовується як засіб розповсюдження, та рекламним шахрайством створює замкнене коло, де один етап фінансує та підтримує наступний.
Користувачам, які раніше встановлювали утиліти або програми для читання файлів з Google Play, варто перевірити список встановлених додатків та видалити будь-який програмний продукт, що викликає підозру своєю поведінкою або несподіваними запитами на оновлення. Хоча перевірити повний список з 455 назв досить важко, безпека пристрою насамперед залежить від критичного ставлення до програм, які після встановлення раптово вимагають додаткових завантажень сторонніх файлів. Будь-яка активність, що виснажує акумулятор або використовує інтернет-трафік у фоновому режимі, має бути негайно припинена шляхом повного видалення підозрілого софту.
