A Satori Threat Intelligence and Research Team da firma de cibersegurança **HUMAN** revelou detalhes sobre o **Trapdoor**, uma sofisticada operação de fraude de anúncios e malvertising que visava dispositivos **Android**. A operação envolveu 455 aplicativos **Android** maliciosos e 183 domínios de comando e controle (C2), criando uma infraestrutura de fraude de múltiplos estágios. ### Modus Operandi do Trapdoor De acordo com os pesquisadores Louisa Abel, Ryan Joye, João Marques, João Santos e Adam Sell, os usuários são enganados a baixar aplicativos de utilidade aparentemente benignos (como visualizadores de PDF ou ferramentas de limpeza de dispositivos) que atuam como condutores para malvertising. Esses aplicativos iniciais, então, coagiam os usuários a baixar aplicativos adicionais de propriedade dos atores da ameaça. Esses aplicativos secundários lançavam WebViews ocultos, carregavam domínios HTML5 de propriedade dos atores da ameaça e solicitavam anúncios, gerando receita fraudulenta.  ### Escala e Táticas Em seu pico, o **Trapdoor** gerou 659 milhões de solicitações de lances diariamente, com os aplicativos **Android** associados baixados mais de 24 milhões de vezes. A maioria do tráfego se originou dos EUA. Os atores da ameaça também abusaram de ferramentas de atribuição de instalação para habilitar seletivamente o comportamento malicioso apenas para usuários adquiridos por meio de suas campanhas de anúncios, enquanto o suprimiam para downloads orgânicos. Essa técnica de evasão permitiu que operassem sob o radar.  Esta campanha compartilha semelhanças com operações anteriores de fraude de anúncios como **SlopAds**, **Low5** e **BADBOX 2.0**, particularmente em seu uso de sites de cashout baseados em HTML5. ### Ativação Seletiva e Evasão Notavelmente, apenas os aplicativos de segundo estágio são usados para acionar a fraude. Os aplicativos iniciais, baixados organicamente, exibem alertas de atualização falsos para enganar os usuários a instalar os aplicativos secundários maliciosos. Essa ativação seletiva, combinada com técnicas anti-análise e ofuscação, ajudou o **Trapdoor** a evitar a detecção. ### Mitigação e Resposta Após uma divulgação responsável, o **Google** removeu todos os aplicativos maliciosos identificados da **Google Play Store**, neutralizando efetivamente a operação. Uma lista completa dos aplicativos removidos está disponível [aqui](https://humanprod.wpenginepowered.com/wp-content/uploads/Trapdoor-Apps.html). "O Trapdoor mostra como fraudadores determinados transformam instalações de aplicativos do dia a dia em um pipeline autofinanciado para malvertising e fraude de anúncios", disse Gavin Reid, chief information security officer da **HUMAN**. Ele destacou ainda o uso de ferramentas legítimas pelos atores da ameaça, como software de atribuição, para auxiliar em suas campanhas de fraude e evadir a detecção. Lindsay Kaye, vice-presidente de inteligência de ameaças da **HUMAN**, observou que a operação utilizou software real e múltiplas técnicas de ofuscação, como a personificação de SDKs legítimos, para se misturar.