Исследователи компании Human Security обнаружили масштабную мошенническую сеть под названием Trapdoor, которая использовала 455 приложений для Android для реализации рекламного мошенничества. Эти программы распространялись через официальный магазин Google Play Store и маскировались под вполне безобидные утилиты, например обычные считыватели документов в формате PDF. Общее количество загрузок этих программ на устройства пользователей превысило 24 миллиона, что свидетельствует о высоком доверии владельцев смартфонов к контенту, который размещается на официальной платформе корпорации Google.
Схема работы злоумышленников базировалась на скрытом механизме обновления программного обеспечения. После установки пользователем вполне функциональной программы на экране появлялось уведомление о необходимости установки обновления. На самом деле вместо улучшения производительности устройство загружало другую скрытую программу. Этот вторичный компонент работал в фоновом режиме, не отображая никаких интерфейсов для пользователя, и активировал невидимые окна WebView, которые непрерывно генерировали запросы к рекламным серверам для имитации просмотра баннеров рекламодателями, которые никогда не видели этой рекламы.
Масштабы деятельности мошенников оказались чрезвычайно большими для такого типа вредоносного программного обеспечения, поскольку на пике своей активности сеть Trapdoor генерировала 659 миллионов фальшивых рекламных запросов каждый день. Компания Google была вынуждена удалить все 455 выявленных приложений из своего магазина после того, как получила отчет от аналитиков Human Security. Использование 183 командных серверов позволяло злоумышленникам гибко управлять инфраструктурой и масштабировать объемы финансовых махинаций, направленных на истощение бюджетов рекламных компаний по всему миру.
Эксперты по безопасности подчеркивают, что успех подобных операций объясняется интеграцией вредоносного программного обеспечения с легитимными каналами дистрибуции. Этот инцидент с очередным удалением приложений из Play Store является напоминанием о том, что автоматические проверки безопасности магазинов программ не всегда способны выявить скрытые механизмы, которые активируются уже после установки на устройство. Взаимосвязь между малвертайзингом, где реклама используется как средство распространения, и рекламным мошенничеством создает замкнутый круг, где один этап финансирует и поддерживает следующий.
Пользователям, которые ранее устанавливали утилиты или программы для чтения файлов из Google Play, стоит проверить список установленных приложений и удалить любой программный продукт, вызывающий подозрение своим поведением или неожиданными запросами на обновление. Хотя проверить полный список из 455 названий довольно трудно, безопасность устройства прежде всего зависит от критического отношения к программам, которые после установки внезапно требуют дополнительных загрузок сторонних файлов. Любая активность, которая истощает аккумулятор или использует интернет-трафик в фоновом режиме, должна быть немедленно прекращена путем полного удаления подозрительного софта.
