Die von HUMAN’s Satori Threat Intelligence and Research Team analysierte Operation Trapdoor offenbart ein perfekt organisiertes Betrugssystem, das die Grenzen zwischen Malware-Verbreitung und Ad-Fraud verschwimmen lässt. Das Netzwerk funktioniert nach einem selbsterhaltenden Modell: Ein organischer App-Download wird zur Eröffnung eines illegalen Einnahmezyklus umfunktioniert.
Die Funktionsweise ist perfide durchdacht. Nutzer laden zunächst scheinbar legitime Apps wie PDF-Viewer oder Bereinigungstools herunter. Diese ersten Apps fungieren als Türöffner für weitere bösartige Anwendungen, die versteckte WebViews starten, Anzeigenanfragen an kontrollierte Server leiten und eine automatisierte Interaktion mit Anzeigen simulieren – sogenannten Touch Fraud. Besonders raffiniert: Die Forscher Louisa Abel, Ryan Joye, João Marques, João Santos und Adam Sell entdeckten, dass die betrügerische Aktivität selektiv nur bei Nutzern aktiviert wird, die über Threat-Actor-gesteuerte Werbekampagnen akquiriert wurden. Nutzer, die Apps direkt aus dem Play Store herunterladen oder sideloaden, werden nicht betroffen.
Trapdoor bedient sich zudem eines Tricks, den bisherige Ad-Fraud-Kampagnen wie SlopAds, Low5 und BADBOX 2.0 etabliert haben: HTML5-basierte Auszahlungsseiten. Das Netzwerk missbraucht auch Install-Attribution-Tools – eigentlich für legitime Marketer gedacht, um Nutzerbeschaffung zu tracken – um illegale Aktivitäten zu aktivieren.
Die technischen Gegenmaßnahmen sind beeindruckend: Trapdoor nutzt Obfuskation, Anti-Analyse-Techniken und imitiert legitime Software Development Kits, um unter dem Radar zu bleiben. Fake-Pop-up-Warnungen, die Systemupdates imitieren, sollen Nutzer zum Download weiterer Apps verleiten.
Lindsay Kaye, Vice President of Threat Intelligence bei HUMAN, warnt: “Diese Operation zeigt, wie entschlossene Betrüger alltägliche App-Installationen in eine selbstfinanzierte Pipeline für Malvertising umwandeln.” Gavin Reid, Chief Information Security Officer bei HUMAN, ergänzt, dass Threat Actors kontinuierlich legitime Werkzeuge co-optieren, um ihre Kampagnen zu unterstützen.
Nach verantwortungsvoller Offenlegung hat Google schnell reagiert und alle identifizierten Apps aus dem Play Store entfernt. Die Satori-Equipe erklärt sich zur fortlaufenden Überwachung und Disruption solcher Netzwerke verpflichtet. Für deutsche Nutzer bleibt die Lehre: Vorsicht bei unbekannten App-Angeboten, regelmäßige App-Überprüfungen im Play Store durchführen und auf verdächtige Aktivitäten achten.