Mientras duermes, tu Android trabaja para granjas publicitarias: análisis del funcionamiento de una red oculta de 455 aplicaciones infectadas
Un virus astuto se hace el muerto ante los expertos en seguridad y revive al instante en los usuarios comunes.
El equipo de HUMAN Security reveló un amplio esquema malicioso llamado Trapdoor, que convertía aplicaciones Android comunes en parte de una estructura oculta de monetización por publicidad. El usuario podía descargar un visor de PDF, un gestor de archivos o una utilidad para limpiar el teléfono que parecía inofensiva, y luego acababa en una cadena de publicidad intrusiva, actualizaciones falsas y clics ocultos en anuncios.
Según HUMAN, la operación incluía 455 aplicaciones maliciosas y 183 dominios de comando y control. Las aplicaciones relacionadas con Trapdoor se descargaron más de 24 millones de veces, y en su pico el esquema generó hasta 659 millones de solicitudes a subastas publicitarias por día.
Trapdoor operaba en varias fases. La primera aplicación, instalada de forma habitual, por sí sola no activaba la actividad fraudulenta. En su lugar, al usuario se le mostraba un anuncio que afirmaba que la versión de la aplicación estaba desactualizada o no era compatible. Al pulsar el anuncio se instalaba otra aplicación, ya vinculada con el mecanismo principal de monetización de los atacantes.
Los autores del informe señalan que los operadores de Trapdoor abusaron de herramientas de atribución de marketing. Estos servicios ayudan a anunciantes legítimos a entender de dónde proviene el usuario, pero en Trapdoor se empleaban para filtrar.
Si la aplicación se descargaba directamente desde Google Play o se instalaba manualmente para su verificación, la lógica maliciosa no se activaba. Cuando el usuario llegaba a través de la campaña publicitaria de los atacantes, se ejecutaba el guion oculto.
Tras la activación, la aplicación descifraba archivos integrados con direcciones de servidores de control, coordenadas de pulsaciones y parámetros de carga. A continuación se abría un WebView oculto para el usuario, que accedía a dominios HTML5, solicitaba anuncios e imitaba toques, deslizamientos y otras acciones. El equipo de HUMAN señala que esos movimientos no eran aleatorios, sino calculados de antemano para interactuar con bloques publicitarios concretos.
Trapdoor también intentaba dificultar el análisis. Las aplicaciones comprobaban señales de acceso root, depuración y uso de VPN, empleaban cifrado de cadenas, empaquetadores, virtualización de código y se hacían pasar por SDK publicitarios legítimos. Un enfoque similar fue vinculado anteriormente por HUMAN con las operaciones SlopAds, Low5 y BADBOX 2.0, donde sitios HTML5 con juegos y noticias se usaban para obtener ingresos publicitarios.
HUMAN informó que ya implementó protección contra Trapdoor en sus soluciones de seguridad publicitaria. No obstante, los operadores del esquema continúan publicando nuevas aplicaciones y cambiando dominios, por lo que el equipo Satori sigue rastreando la evolución de la campaña.