サイバーセキュリティ企業である**HUMAN**のSatori Threat Intelligence and Research Teamは、**Android**デバイスを標的とした巧妙な広告詐欺および悪質広告オペレーションである**Trapdoor**の詳細を発表しました。このオペレーションは、455個の悪意ある**Android**アプリと183個のコマンド＆コントロール（C2）ドメインを関与させ、多段階の詐欺インフラストラクチャを構築していました。 ### Trapdoorの犯行手口 研究者のLouisa Abel、Ryan Joye、João Marques、João Santos、Adam Sellによると、ユーザーはPDFビューアやデバイスクリーナーのような一見無害なユーティリティアプリをダウンロードさせられますが、これらは悪質広告の経路として機能します。 これらの初期アプリは、さらに脅威アクターが所有する追加アプリのダウンロードをユーザーに強制します。これらの二次アプリは隠しWebViewを起動し、脅威アクターが所有するHTML5ドメインをロードして広告を要求し、不正な収益を生成します。  ### スケールと戦術 ピーク時には、**Trapdoor**は1日あたり6億5900万件の入札リクエストを生成し、関連する**Android**アプリは2400万回以上ダウンロードされていました。トラフィックの大部分は米国から発生していました。 脅威アクターはまた、インストールアトリビューションツールを悪用して、広告キャンペーンを通じて獲得したユーザーに対してのみ悪意のある動作を選択的に有効にし、オーガニックダウンロードに対してはそれを抑制していました。この回避技術により、彼らはレーダーの下で活動することができました。  このキャンペーンは、HTML5ベースのキャッシュサイトの使用において、**SlopAds**、**Low5**、**BADBOX 2.0**といった過去の広告詐欺オペレーションと類似性が見られます。 ### 選択的アクティベーションと回避 注目すべきは、詐欺をトリガーするために使用されるのは二次アプリのみであるという点です。最初にオーガニックにダウンロードされたアプリは、悪意のある二次アプリのインストールをユーザーに強制するために偽のアップデートアラートを表示します。 この選択的アクティベーションは、アンチ分析および難読化技術と組み合わされ、**Trapdoor**が検出を回避するのに役立ちました。 ### 緩和策と対応 責任ある開示の後、**Google**は特定されたすべての悪意あるアプリを**Google Play Store**から削除し、オペレーションを効果的に無力化しました。削除されたアプリの完全なリストは[こちら](https://humanprod.wpenginepowered.com/wp-content/uploads/Trapdoor-Apps.html)で入手できます。 **HUMAN**の最高情報セキュリティ責任者であるGavin Reid氏は、「Trapdoorは、決意を持った詐欺師がいかに日常的なアプリのインストールを、悪質広告と広告詐欺のための自己資金調達パイプラインに変えるかを示している」と述べています。さらに、脅威アクターが詐欺キャンペーンを支援し、検出を回避するために、アトリビューションソフトウェアのような正規のツールを使用していることを強調しました。 **HUMAN**の脅威インテリジェンス担当バイスプレジデントであるLindsay Kaye氏は、このオペレーションが実際のソフトウェアと、正規のSDKになりすますなどの複数の難読化技術を使用して、紛れ込ませていたと指摘しました。