Trapdoor usa 455 app Android per trasformare malvertising in ad fraud

Trapdoor è l’operazione di malvertising e ad fraud scoperta e interrotta dal team Satori di HUMAN Security. L’ecosistema comprende 455 app Android malevole e 183 domini di comando e controllo (C2) che formano una pipeline multi-stage autosostenibile progettata per generare traffico pubblicitario fraudolento su larga scala. Gli utenti scaricano inizialmente un’app utility apparentemente innocua come visualizzatore PDF, cleaner o tool di ottimizzazione. Successivamente vengono spinti tramite campagne di malvertising a installare una seconda applicazione controllata dagli attaccanti. Queste app secondarie avviano WebView nascoste che caricano domini HTML5 remoti e simulano interazioni umane realistiche per generare click fraudolenti sugli annunci pubblicitari. Al picco dell’operazione, Trapdoor ha raggiunto 659 milioni di richieste di bid al giorno mentre le app coinvolte hanno superato 24 milioni di download complessivi. HUMAN Security è riuscita a disarticolare l’infrastruttura ma il caso dimostra ancora una volta come gli attaccanti sfruttino i meccanismi legittimi di distribuzione Android per creare ecosistemi fraudolenti autosostenuti e difficili da rilevare.

Trapdoor usa un sistema a due fasi per evitare il rilevamento immediato

Il team Satori ha identificato Trapdoor come una piattaforma estremamente sofisticata progettata per massimizzare evasione e resilienza contro i controlli di sicurezza. Le app iniziali distribuite tramite canali apparentemente legittimi non attivano immediatamente comportamenti fraudolenti. Solo dopo l’installazione organica parte una campagna di malvertising che convince l’utente a scaricare una seconda applicazione malevola. Questo approccio a doppio stadio limita drasticamente l’esposizione di traffico invalido e riduce il rischio di rilevamento automatico da parte degli store Android e degli strumenti di analisi comportamentale. Le app utility attirano un bacino molto ampio di utenti perché promettono funzioni quotidiane comuni senza generare sospetti immediati. Una volta installata la seconda app, il meccanismo fraudolento si attiva silenziosamente in background generando revenue pubblicitarie che possono finanziare ulteriori campagne di malvertising. Il risultato finale è un ecosistema chiuso e autosufficiente che converte installazioni legittime in traffico pubblicitario artificiale altamente monetizzabile. Questo modello operativo rappresenta un’evoluzione importante rispetto alle tradizionali campagne di ad fraud Android più facilmente identificabili.

Le campagne di malvertising spingono gli utenti a installare le app secondarie

Trapdoor utilizza una distribuzione selettiva estremamente precisa. Le installazioni organiche iniziali non avviano immediatamente alcuna attività malevola evidente. L’app primaria lancia invece campagne di malvertising che mostrano messaggi ingannevoli come “aggiornamento obbligatorio”, “versione obsoleta” oppure “app non più supportata”. Questi messaggi sfruttano la fiducia degli utenti nei normali meccanismi di aggiornamento software Android creando un senso artificiale di urgenza. Gli utenti vengono così spinti a scaricare una seconda applicazione sotto il controllo diretto degli attaccanti. Le app primarie integrano inoltre chiamate di attribuzione che controllano valori specifici come tracker_name per verificare l’origine dell’installazione. Solo gli utenti provenienti dalle campagne pubblicitarie controllate dagli stessi attaccanti attivano realmente i workflow fraudolenti. Questo filtro intelligente consente a Trapdoor di limitare le attività malevole ai dispositivi selezionati riducendo enormemente il rumore per ricercatori di sicurezza, sandbox automatiche e sistemi anti-frode pubblicitaria. L’intera architettura dimostra una profonda conoscenza dei sistemi di attribuzione mobile advertising e dei meccanismi di distribuzione Android moderni.

Le app lanciano WebView nascoste e simulano tocchi umani realistici

Le applicazioni secondarie di Trapdoor avviano WebView full-screen completamente invisibili all’utente. Queste WebView caricano domini HTML5 serviti dall’infrastruttura C2 e iniziano a richiedere annunci pubblicitari tramite richieste automatizzate. Il sistema simula interazioni umane realistiche utilizzando coordinate di tap, swipe e gesti complessi generati artificialmente. I file move.txt e click.txt, contenuti all’interno di archivi ZIP cifrati, forniscono istruzioni dettagliate per i movimenti simulati. I dati vengono deserializzati in classi interne come TouchConfig e TouchData e successivamente inviati tramite la funzione dispatchTouchEvent di Android.

Una richiesta separata verso il C2 trasporta configurazioni dettagliate dei click inclusi ritardi temporali, coordinate e identificatori dei banner pubblicitari per mappare perfettamente i tocchi sugli annunci. Tutto il processo avviene completamente in background senza alcuna interazione visibile sul dispositivo della vittima. Questo approccio consente agli attaccanti di generare click fraudolenti estremamente realistici e difficili da distinguere dal comportamento umano reale, aumentando il valore economico del traffico generato.

Trapdoor usa obfuscation avanzata e tecniche anti-analisi

Le app collegate a Trapdoor implementano numerose tecniche avanzate di anti-analisi e obfuscation per resistere sia all’analisi statica sia all’analisi dinamica. La maggior parte dei campioni utilizza packer nativi, virtualizzazione del codice e crittografia delle stringhe per rendere difficile l’ispezione automatica del payload. Alcune varianti impersonano persino SDK Android legittimi per mimetizzarsi meglio all’interno dell’ecosistema mobile. Una richiesta separata verso l’endpoint /api/referrer trasmette inoltre segnali anti-analisi che includono indicatori di rooting, presenza di debugger, VPN attive e altri elementi tipici degli ambienti di ricerca sicurezza. Queste tecniche riducono fortemente la capacità di sandbox e sistemi automatizzati di identificare il comportamento malevolo. Il payload iniziale decrittato contiene elementi critici come domini C2, riferimenti ai file con coordinate di click e collegamenti a payload caricati dinamicamente. L’architettura modulare permette inoltre agli attaccanti di aggiornare facilmente il comportamento delle app senza necessità di nuove installazioni. Questa combinazione di evasione, modularità e anti-analysis rende Trapdoor una delle operazioni di ad fraud Android più sofisticate osservate negli ultimi mesi.

Trapdoor genera 659 milioni di bid request fraudolente al giorno

Al suo picco operativo, Trapdoor ha generato circa 659 milioni di richieste di bid fraudolente al giorno. Le applicazioni associate all’operazione hanno superato complessivamente i 24 milioni di download, dimostrando l’efficacia del modello di distribuzione adottato dagli attaccanti. Il sistema crea un ciclo autosostenibile nel quale le revenue generate dai click fraudolenti finanziano ulteriori campagne di malvertising che portano nuove installazioni e nuovi dispositivi compromessi. Questo modello consente agli operatori di Trapdoor di scalare rapidamente senza dipendere esclusivamente da fonti esterne di monetizzazione. La combinazione di malvertising, WebView nascoste, simulazione di tocchi umani e distribuzione selettiva rende l’operazione particolarmente pericolosa sia per gli advertiser sia per le piattaforme pubblicitarie mobile. Il traffico fraudolento generato risulta infatti molto difficile da distinguere dal traffico reale e può alterare significativamente metriche di advertising, conversioni e sistemi di attribuzione. HUMAN Security sottolinea che il livello di sofisticazione raggiunto da Trapdoor mostra quanto il settore dell’ad fraud Android si stia evolvendo rapidamente verso modelli sempre più professionali e resilienti.

HUMAN Satori disarticola l’infrastruttura e pubblica gli indicatori IoC

Il team Satori di HUMAN Security è riuscito a identificare, analizzare e interrompere l’intera infrastruttura di Trapdoor. I ricercatori Louisa Abel, Ryan Joye, João Marques, João Santos e Adam Sell hanno mappato tutte le 455 app malevole e i 183 domini C2 utilizzati dall’operazione. HUMAN ha inoltre distribuito protezioni specifiche all’interno della propria suite Advertising Protection. L’azienda ha pubblicato anche gli elenchi completi delle applicazioni malevole e dei domini di comando e controllo attraverso file CSV e HTML che permettono a ricercatori e difensori di verificare eventuali sovrapposizioni con infrastrutture o dispositivi aziendali. Queste informazioni facilitano attività di monitoraggio, detection e rimozione di eventuali residui dell’operazione. La pubblicazione degli indicatori di compromissione rappresenta inoltre un supporto importante per advertiser, piattaforme ad-tech e vendor mobile security impegnati nel contrasto alle frodi pubblicitarie Android.

Trapdoor dimostra l’evoluzione delle frodi pubblicitarie Android

Trapdoor dimostra come gli attaccanti moderni riescano a trasformare applicazioni utility apparentemente innocue in vettori di frode pubblicitaria altamente redditizi. La combinazione di distribuzione selettiva, simulazione di interazioni umane realistiche, infrastruttura C2 distribuita e tecniche avanzate di obfuscation rende l’operazione particolarmente efficace e difficile da individuare rapidamente. La scoperta e l’interruzione da parte di HUMAN Satori sottolineano l’importanza crescente di soluzioni avanzate contro malvertising e ad fraud su Android. Le piattaforme pubblicitarie e gli advertiser devono rafforzare i controlli sulle applicazioni distribuite, monitorare pattern di traffico anomali e verificare con maggiore attenzione le sorgenti delle installazioni mobile. Trapdoor evidenzia inoltre quanto il modello economico del mobile advertising possa essere sfruttato dagli attaccanti per creare ecosistemi fraudolenti autosostenuti che finanziano continuamente la propria espansione. Con milioni di download e centinaia di milioni di bid request giornaliere, l’operazione rappresenta uno dei casi più significativi recenti di evoluzione delle frodi pubblicitarie Android basate su infrastrutture multi-stage distribuite.