La firma de ciberseguridad **HUMAN**, a través de su Satori Threat Intelligence and Research Team, ha revelado detalles de **Trapdoor**, una sofisticada operación de fraude publicitario y malvertising dirigida a dispositivos **Android**. La operación involucró 455 aplicaciones **Android** maliciosas y 183 dominios de comando y control (C2), creando una infraestructura de fraude de múltiples etapas. ### Modus Operandi de Trapdoor Según los investigadores Louisa Abel, Ryan Joye, João Marques, João Santos y Adam Sell, los usuarios son engañados para descargar aplicaciones de utilidad aparentemente benignas (como visores de PDF o herramientas de limpieza de dispositivos) que actúan como conductos para el malvertising. Estas aplicaciones iniciales luego coaccionan a los usuarios para descargar aplicaciones adicionales propiedad de los actores de amenazas. Estas aplicaciones secundarias lanzan WebViews ocultos, cargan dominios HTML5 propiedad de los actores de amenazas y solicitan anuncios, generando ingresos fraudulentos.  ### Escala y Tácticas En su punto álgido, **Trapdoor** generó 659 millones de solicitudes de oferta diarias, con las aplicaciones **Android** asociadas descargadas más de 24 millones de veces. La mayoría del tráfico se originó en EE. UU. Los actores de amenazas también abusaron de herramientas de atribución de instalaciones para habilitar selectivamente el comportamiento malicioso solo para los usuarios adquiridos a través de sus campañas publicitarias, mientras lo suprimían para descargas orgánicas. Esta técnica de evasión les permitió operar bajo el radar.  Esta campaña comparte similitudes con operaciones de fraude publicitario anteriores como **SlopAds**, **Low5** y **BADBOX 2.0**, particularmente en su uso de sitios de cobro basados en HTML5. ### Activación Selectiva y Evasión Notablemente, solo las aplicaciones de segunda etapa se utilizan para activar el fraude. Las aplicaciones iniciales, descargadas orgánicamente, sirven alertas de actualización falsas para engañar a los usuarios e inducirlos a instalar las aplicaciones secundarias maliciosas. Esta activación selectiva, combinada con técnicas anti-análisis y ofuscación, ayudó a **Trapdoor** a evitar la detección. ### Mitigación y Respuesta Tras una divulgación responsable, **Google** eliminó todas las aplicaciones maliciosas identificadas de la **Google Play Store**, neutralizando efectivamente la operación. Una lista completa de las aplicaciones eliminadas está disponible [aquí](https://humanprod.wpenginepowered.com/wp-content/uploads/Trapdoor-Apps.html). "Trapdoor demuestra cómo los estafadores decididos convierten las instalaciones de aplicaciones cotidianas en un canal autofinanciado para malvertising y fraude publicitario", dijo Gavin Reid, director de seguridad de la información en **HUMAN**. Destacó además el uso de herramientas legítimas por parte de los actores de amenazas, como el software de atribución, para ayudar en sus campañas de fraude y evadir la detección. Lindsay Kaye, vicepresidenta de inteligencia de amenazas en **HUMAN**, señaló que la operación utilizó software real y múltiples técnicas de ofuscación, como la suplantación de SDK legítimos, para pasar desapercibida.