Trapdoor verknüpft zwei unterschiedliche Vorgehensweisen: die Verbreitung über Malvertising und eine verdeckte Monetarisierung durch Werbebetrug. Die zunächst installierte App tarnt sich als unverdächtiges Hilfsprogramm und dient als Einfallstor für Werbung, die weitere Trapdoor-Apps bewirbt. Diese Folge-Apps öffnen versteckte WebViews, laden von den Tätern kontrollierte HTML5-Domains und fordern Werbeanzeigen an. Sie sind zudem darauf ausgelegt, automatisierten „Touch Fraud“ – also vorgetäuschte Berührungen – auszuführen.
Wie die Forscher Louisa Abel, Ryan Joye, João Marques, João Santos und Adam Sell in einem Bericht gegenüber The Hacker News darlegen, ist nur die zweite App für den eigentlichen Betrug verantwortlich. Startet der Nutzer die zuerst heruntergeladene Anwendung, blendet diese gefälschte Pop-up-Warnungen ein, die wie App-Update-Meldungen aussehen und zur Installation der nächsten Stufe verleiten sollen.
Charakteristisch ist die selektive Aktivierung: Der Schadcode wird nur bei jenen ausgelöst, die über die Werbekampagnen der Täter auf die Apps gelangt sind. Wer eine App direkt aus dem Play Store herunterlädt oder per Sideloading installiert, bleibt unbehelligt. Laut HUMAN missbrauchen die Täter dafür Werkzeuge zur Installations-Attribution – eigentlich für legitime Vermarkter gedacht, um nachzuvollziehen, wie Nutzer Apps entdecken –, um schädliches Verhalten gezielt nur bei beworbenen Installationen freizuschalten und es bei organischen Downloads zu unterdrücken.
Die Kampagne beschreibt HUMAN als selbsttragend: Aus einer organischen Installation entsteht ein illegaler Einnahmekreislauf, der wiederum weitere Malvertising-Kampagnen finanzieren kann. Auffällig ist der Einsatz von HTML5-basierten Cashout-Seiten – ein Muster, das bereits in den zuvor beobachteten Clustern SlopAds, Low5 und BADBOX 2.0 auftrat.
Zur Tarnung setzt Trapdoor auf mehrere Verschleierungs- und Anti-Analyse-Techniken. „Diese Operation nutzt reale, alltägliche Software und mehrere Verschleierungs- und Anti-Analyse-Techniken – etwa das Nachahmen legitimer SDKs, um sich einzufügen –, um Malvertising-Verbreitung, verdeckten Werbebetrug und mehrstufige Schadsoftware-Verteilung zu verschmelzen“, sagte Lindsay Kaye, Vice President of Threat Intelligence bei HUMAN.
„Trapdoor zeigt, wie entschlossene Betrüger alltägliche App-Installationen in eine selbstfinanzierende Pipeline für Malvertising und Werbebetrug verwandeln“, erklärte Gavin Reid, Chief Information Security Officer bei HUMAN. Es sei ein weiteres Beispiel dafür, dass Täter legitime Werkzeuge wie Attributionssoftware für ihre Betrugskampagnen vereinnahmen, um der Entdeckung zu entgehen.
