La société de cybersécurité **HUMAN**, via son équipe Satori Threat Intelligence and Research Team, a révélé les détails de **Trapdoor**, une opération sophistiquée de fraude publicitaire et de malvertising ciblant les appareils **Android**. L'opération impliquait 455 applications **Android** malveillantes et 183 domaines de commande et de contrôle (C2), créant une infrastructure de fraude à plusieurs étapes. ### Le modus operandi de Trapdoor Selon les chercheurs Louisa Abel, Ryan Joye, João Marques, João Santos et Adam Sell, les utilisateurs sont trompés pour télécharger des applications utilitaires apparemment bénignes (comme des visualiseurs de PDF ou des outils de nettoyage d'appareils) qui servent de conduits pour le malvertising. Ces applications initiales contraignent ensuite les utilisateurs à télécharger des applications supplémentaires appartenant aux acteurs de la menace. Ces applications secondaires lancent des WebViews cachés, chargent des domaines HTML5 appartenant aux acteurs de la menace et demandent des publicités, générant ainsi des revenus frauduleux.  ### Échelle et tactiques À son apogée, **Trapdoor** générait 659 millions de demandes d'enchères par jour, avec les applications **Android** associées téléchargées plus de 24 millions de fois. La majorité du trafic provenait des États-Unis. Les acteurs de la menace ont également abusé des outils d'attribution d'installation pour activer sélectivement le comportement malveillant uniquement pour les utilisateurs acquis via leurs campagnes publicitaires, tout en le supprimant pour les téléchargements organiques. Cette technique d'évasion leur a permis d'opérer sous le radar.  Cette campagne présente des similitudes avec des opérations de fraude publicitaire antérieures telles que **SlopAds**, **Low5** et **BADBOX 2.0**, notamment dans son utilisation de sites de monétisation basés sur HTML5. ### Activation sélective et évasion Notamment, seules les applications de second niveau sont utilisées pour déclencher la fraude. Les applications initiales, téléchargées organiquement, affichent de fausses alertes de mise à jour pour inciter les utilisateurs à installer les applications secondaires malveillantes. Cette activation sélective, combinée à des techniques anti-analyse et d'obfuscation, a aidé **Trapdoor** à éviter la détection. ### Atténuation et réponse Suite à une divulgation responsable, **Google** a supprimé toutes les applications malveillantes identifiées du **Google Play Store**, neutralisant ainsi efficacement l'opération. Une liste complète des applications supprimées est disponible [ici](https://humanprod.wpenginepowered.com/wp-content/uploads/Trapdoor-Apps.html). « Trapdoor montre comment des fraudeurs déterminés transforment les installations d'applications quotidiennes en un pipeline auto-financé pour le malvertising et la fraude publicitaire », a déclaré Gavin Reid, chief information security officer chez **HUMAN**. Il a en outre souligné l'utilisation par les acteurs de la menace d'outils légitimes, tels que des logiciels d'attribution, pour faciliter leurs campagnes de fraude et échapper à la détection. Lindsay Kaye, vice-présidente de la veille sur les menaces chez **HUMAN**, a noté que l'opération utilisait des logiciels réels et plusieurs techniques d'obfuscation, comme l'imitation de SDK légitimes, pour se fondre dans la masse.