Thought Leadership
Das Android-Netzwerk „Trapdoor“ generierte mit 455 präparierten Apps täglich 659 Millionen gefälschte Werbeanfragen im Play Store.
Das IT-Sicherheitsunternehmen HUMAN hat über sein Forschungsteam „Satori Threat Intelligence and Research“ eine großflächige und hochgradig koordinierte Werbebetrugs- und Malvertising-Kampagne aufgedeckt. Die Operation, die unter dem Namen „Trapdoor“ geführt wird, infizierte Smartphones und Tablets mit dem Android-Betriebssystem. Nach Angaben der Sicherheitsforscher Louisa Abel, Ryan Joye, João Marques, João Santos und Adam Sell umfasste das kriminelle Netzwerk insgesamt 455 bösartige Applikationen sowie eine Infrastruktur aus 183 aktiven Command-and-Control-Servern (C2-Domains). Vor der Zerschlagung des Netzwerks verzeichneten die betroffenen Anwendungen zusammen mehr als 24 Millionen Downloads und generierten in Spitzenzeiten bis zu 659 Millionen betrügerische Werbeanfragen (Bid Requests) pro Tag. Google hat nach der vertraulichen Offenlegung (Responsible Disclosure) durch die Forscher alle identifizierten Apps aus dem offiziellen Google Play Store entfernt.
Zweistufige Infektionskette im Play Store via PDF Viewer
Die Funktionsweise von Trapdoor unterscheidet sich grundlegend von klassischen, einstufigen Schadprogrammen. Die Angreifer kombinierten die Verteilung von Schadsoftware über betrügerische Werbeanzeigen (Malvertising) mit einer automatisierten Monetarisierung. Im ersten Schritt luden betroffene Endanwender eine vermeintlich harmlose und nützliche Applikation aus dem Google Play Store herunter. Bei diesen Erststufen-Apps handelte es sich überwiegend um Werkzeuge des alltäglichen Gebrauchs, wie etwa PDF-Betrachter (PDF Viewer) oder System-Bereinigungstools (Device Cleanup Tools).
Nach der erfolgreichen Installation verhielten sich diese Anwendungen zunächst unauffällig, um keine Verdachtsmomente bei automatisierten Schutzsystemen oder dem Nutzer auszulösen. Erst im laufenden Betrieb starteten die integrierten Routinen gezielte Malvertising-Kampagnen auf dem Gerät. Die Erststufen-App blendete manipulierte Pop-up-Fenster ein, die offizielle Systembenachrichtigungen oder App-Update-Meldungen imitierten. Durch diese Täuschung wurden die Anwender dazu verleitet, eine sekundäre Applikation herunterzuladen und zu installieren, die außerhalb des regulären Update-Kanals direkt von den Servern der Angreifer geladen wurde.
Versteckte WebViews und automatisierter Klickbetrug
Der eigentliche finanzielle Betrug wurde ausschließlich über diese Zweitstufen-Apps abgewickelt. Nach ihrer Installation operierten die Anwendungen vollständig im Hintergrund des Betriebssystems, ohne dass für den Smartphone-Besitzer sichtbare Programmfenster geöffnet wurden. Die Schadsoftware initiierte im Verborgenen sogenannte WebViews – unsichtbare Browser-Instanzen innerhalb der App-Struktur. Über diese verdeckten Kanäle steuerten die Apps HTML5-basierte Webseiten an, die sich im direkten Besitz der Angreifer befanden.
Diese Seiten fungierten als sogenannte „Cashout-Domains“, die darauf optimiert waren, in hoher Frequenz automatisierte Werbeanfragen zu generieren und Klicks vorzutäuschen (Touch Fraud). Das technische Muster dieser Cashout-Infrastruktur weist laut dem Satori-Team starke Parallelen zu historisch dokumentierten Bedrohungs-Clustern wie „SlopAds“, „Low5“ und „BADBOX 2.0“ auf. Das System war als geschlossener, selbsttragender Kreislauf (Self-Sustaining Pipeline) konzipiert: Die durch den automatisierten Klickbetrug generierten illegalen Werbeeinnahmen flossen direkt an die Hintermänner zurück und dienten dort der Finanzierung neuer, noch aggressiverer Werbekampagnen, um die Installationszahlen weiter in die Höhe zu treiben.
Selektive Aktivierung zur gezielten Täuschung von Analysten
Eine Besonderheit der Trapdoor-Operation liegt in der Nutzung von Zuordnungswerkzeugen für Software-Installationen (Install Attribution Tools). Diese Technologien werden im legitimen Online-Marketing standardmäßig eingesetzt, um präzise nachzuvollziehen, über welchen Werbekanal ein Nutzer eine App entdeckt und heruntergeladen hat. Die Entwickler von Trapdoor missbrauchten diese Software, um den Schadcode selektiv zu steuern.
Die Betrugsmechanismen wurden ausschließlich bei jenen Anwendern aktiviert, die nachweislich über die von den Angreifern geschalteten Werbekampagnen akquiriert wurden. Hatte ein Nutzer die Erststufen-App hingegen rein organisch direkt über die Suchfunktion des Google Play Stores gefunden oder die Anwendung manuell per Sideloading installiert, blieb der Schadcode permanent inaktiv. Durch diese selektive Filterung gelang es den Tätern, Sicherheitsanalysten und automatisierte Testumgebungen (Sandboxes) der App-Stores über Monate hinweg zu täuschen, da der bösartige Payload bei Standard-Überprüfungen nicht ausgelöst wurde.
„Diese Operation nutzt echte, alltägliche Software und mehrere Verschleierungs- und Anti-Analyse-Techniken – wie das Identitätsvortäuschen legitimer SDKs, um miteinander zu verschmelzen –, um Malvertising-Verbreitung, versteckte Monetarisierung von Werbebetrug und mehrstufige Malware-Verbreitung zu vereinen.“
Lindsay Kaye, Vizepräsidentin für Threat Intelligence bei HUMAN
Werbebetrug ging von Vereinigten Staaten aus
Die statistische Auswertung des generierten Datenverkehrs offenbarte eine klare geografische Fokussierung des Netzwerks. Mehr als drei Viertel (über 75 Prozent) des gesamten Traffic-Volumens und der betrügerischen Werbeanfragen stammten von IP-Adressen aus den Vereinigten Staaten. Die Angreifer visierten damit gezielt einen Markt mit hoher Kaufkraft und standardisierten englischsprachigen Systemumgebungen an, um den finanziellen Ertrag pro Klick zu maximieren.
Gavin Reid, Chief Information Security Officer (CISO) bei HUMAN, betonte die kontinuierliche Weiterentwicklung dieser kriminellen Geschäftsmodelle: „Trapdoor zeigt, wie entschlossene Betrüger alltägliche App-Installationen in eine selbstfinanzierende Pipeline für Malvertising und Werbebetrug verwandeln.“
Reid hob hervor, dass der Missbrauch legitimer Marketing-Werkzeuge wie Attributions-Software ein wiederkehrendes Muster darstellt, mit dem Angreifer versuchen, Entdeckungsnetzwerke im großen Stil zu umgehen. Da Google alle 455 betroffenen Anwendungen aus dem Play Store entfernt und die verknüpften Entwicklerkonten gesperrt hat, gilt die spezifische Infrastruktur dieses Netzwerks als vollständig neutralisiert.
