Die Cybersicherheitsfirma **HUMAN** hat über ihr Satori Threat Intelligence and Research Team Details zu **Trapdoor** enthüllt, einer ausgeklügelten Ad-Fraud- und Malvertising-Operation, die auf **Android**-Geräte abzielt. Die Operation umfasste 455 bösartige **Android**-Apps und 183 Command-and-Control (C2)-Domains, die eine mehrstufige Betrugsinfrastruktur bildeten. ### Trapdoors Vorgehensweise Laut den Forschern Louisa Abel, Ryan Joye, João Marques, João Santos und Adam Sell werden Nutzer dazu verleitet, scheinbar harmlose Utility-Apps (wie PDF-Viewer oder Gerätebereinigungstools) herunterzuladen, die als Kanäle für Malvertising dienen. Diese anfänglichen Apps zwingen die Nutzer dann dazu, zusätzliche, von den Bedrohungsakteuren kontrollierte Apps herunterzuladen. Diese sekundären Apps starten versteckte WebViews, laden von den Bedrohungsakteuren kontrollierte HTML5-Domains und fordern Anzeigen an, um betrügerische Einnahmen zu generieren.  ### Umfang und Taktiken Auf dem Höhepunkt generierte **Trapdoor** täglich 659 Millionen Gebotsanfragen, wobei die zugehörigen **Android**-Apps über 24 Millionen Mal heruntergeladen wurden. Der Großteil des Traffics stammte aus den USA. Die Bedrohungsakteure missbrauchten auch Install-Attribution-Tools, um bösartiges Verhalten selektiv nur für Nutzer zu aktivieren, die über ihre Anzeigenkampagnen gewonnen wurden, während es für organische Downloads unterdrückt wurde. Diese Ausweichtechnik ermöglichte es ihnen, unentdeckt zu bleiben.  Diese Kampagne weist Ähnlichkeiten mit früheren Ad-Fraud-Operationen wie **SlopAds**, **Low5** und **BADBOX 2.0** auf, insbesondere in Bezug auf die Verwendung von HTML5-basierten Cashout-Websites. ### Selektive Aktivierung und Ausweichung Bemerkenswerterweise werden nur die Apps der zweiten Stufe zur Auslösung des Betrugs verwendet. Die anfänglichen, organisch heruntergeladenen Apps zeigen gefälschte Update-Benachrichtigungen, um Nutzer dazu zu verleiten, die bösartigen sekundären Apps zu installieren. Diese selektive Aktivierung, kombiniert mit Anti-Analyse- und Verschleierungstechniken, half **Trapdoor**, der Erkennung zu entgehen. ### Abhilfemaßnahmen und Reaktion Nach einer verantwortungsvollen Offenlegung hat **Google** alle identifizierten bösartigen Apps aus dem **Google Play Store** entfernt und die Operation damit effektiv neutralisiert. Eine vollständige Liste der entfernten Apps ist [hier](https://humanprod.wpenginepowered.com/wp-content/uploads/Trapdoor-Apps.html) verfügbar. „Trapdoor zeigt, wie entschlossene Betrüger alltägliche App-Installationen in eine sich selbst finanzierende Pipeline für Malvertising und Ad Fraud verwandeln“, sagte Gavin Reid, Chief Information Security Officer bei **HUMAN**. Er hob weiter hervor, dass die Bedrohungsakteure legitime Tools wie Attribution-Software nutzten, um ihre Betrugskampagnen zu unterstützen und der Erkennung zu entgehen. Lindsay Kaye, Vice President of Threat Intelligence bei **HUMAN**, bemerkte, dass die Operation echte Software und mehrere Verschleierungstechniken verwendete, wie z. B. die Nachahmung legitimer SDKs, um sich einzufügen.