นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดเกี่ยวกับปฏิบัติการฉ้อโกงโฆษณา (Ad Fraud) และการโฆษณาที่เป็นอันตราย (Malvertising) รูปแบบใหม่ โดยมีเป้าหมายเป็นกลุ่มผู้ใช้งานอุปกรณ์ระบบปฏิบัติการแอนดรอยด์ ภายใต้ชื่อ "Trapdoor"
โดยมีรายงานจากทีม Satori Threat Intelligence and Research จากบริษัท HUMAN ระบุว่า พบพฤติกรรมดังกล่าวครอบคลุมแอปพลิเคชัน Android ที่เป็นอันตรายจำนวน 455 แอป และโดเมนสำหรับ C2 Server ที่เป็นของผู้ไม่หวังดีอีกจำนวน 183 โดเมน กลายเป็นโครงสร้างพื้นฐานสำหรับการปฏิบัติการฉ้อโกงแบบ multi-stage
นักวิจัย Louisa Abel, Ryan Joye, João Marques, João Santos และ Adam Sell ได้ให้รายละเอียดกับทาง The Hacker News โดยระบุว่า "ผู้ใช้งานจะดาวน์โหลดแอปพลิเคชันของผู้ไม่หวังดีโดยไม่รู้ตัว ซึ่งมักจะเป็นแอปพลิเคชันประเภทเครื่องมืออำนวยความสะดวก เช่น โปรแกรมสำหรับอ่านไฟล์ PDF หรือเครื่องมือล้างข้อมูลในอุปกรณ์"
"โดยแอปพลิเคชันเหล่านี้จะมีการแสดงแคมเปญโฆษณาที่เป็นอันตราย ซึ่งจะบังคับให้ผู้ใช้งานดาวน์โหลดแอปพลิเคชันอื่น ๆ ที่เป็นของผู้ไม่หวังดีเพิ่มเติม โดยแอปพลิเคชันในลำดับที่สองนี้จะทำการเปิดหน้าต่าง WebViews แบบ Hidden เพื่อโหลดหลายโดเมน HTML5 ของผู้ไม่หวังดี และทำการส่ง Request ads
บริษัทด้านความปลอดภัยทางไซเบอร์ระบุเพิ่มเติมว่า แคมเปญนี้สามารถสร้างรายได้ และอยู่ได้ด้วยตัวเอง เนื่องจากมีการนำรายได้ผ่านการติดตั้งในรูปแบบปกติ และนำรายได้ดังกล่าวมาเป็นทุนในการโฆษณาแคมเปญที่เป็นอันตราย ในครั้งถัด ๆ ไปเป็นวงจร และยังมีจุดที่น่าสังเกตอย่างหนึ่งของกิจกรรมนี้คือการใช้เว็บไซต์ที่มีพื้นฐานเทคโนโลยีจาก HTML5 ในการถอนเงิน ซึ่งเป็นรูปแบบเดียวกันกับที่เคยตรวจพบในกลุ่มภัยคุกคามก่อนหน้านี้ เช่น SlopAds, Low5, และ BADBOX 2.0
ในช่วงที่ปฏิบัติการดังกล่าวขึ้นสู่จุดสูงสุด Trapdoor มียอดส่งคำขอประมูลโฆษณา (Bid requests) สูงถึง 659 ครั้งต่อวัน โดยแอปพลิเคชัน Android ที่มีความเชื่อมโยงกับปฏิบัติการนี้ถูกดาวน์โหลดไปแล้วกว่า 24 ล้านครั้ง ทั้งนี้ปริมาณการเข้าชมที่เกี่ยวข้องกับแคมเปญดังกล่าวส่วนใหญ่มีต้นทางมาจากสหรัฐอเมริกา ซึ่งคิดเป็นสัดส่วนมากกว่า 3 ใน 4 ของปริมาณการเข้าชมทั้งหมด
ทางบริษัท HUMAN ยังระบุเพิ่มเติมว่า "ผู้ไม่หวังดีที่อยู่เบื้องหลัง Trapdoor ยังใช้งานเครื่องมือระบุที่มาของการติดตั้ง ซึ่งเป็นเทคโนโลยีที่ถูกออกแบบมาเพื่อช่วยให้นักการตลาดปกติทั่วไปสามารถติดตาม และทราบได้ถึงที่มาว่าผู้ใช้งานรู้จักแอปพลิเคชันได้อย่างไร เพื่อเปิดใช้งานพฤติกรรมที่เป็นอันตรายเฉพาะในผู้ใช้ที่มาจากการโฆษณาของกลุ่มผู้ไม่หวังดี ในขณะที่ระงับพฤติกรรมดังกล่าวสำหรับการดาวน์โหลดแอปโดยวิธีปกติ"
Trapdoor มีการผสมผสานสองแนวทางที่แตกต่างกัน ได้แก่ การแพร่กระจายโฆษณาที่เป็นอันตราย และการสร้างรายได้จากการฉ้อโกงโฆษณาแบบ Hidden Ad-fraud Monetization โดยผู้ใช้งานที่ไม่ได้ระมัดระวังตัวจะดาวน์โหลดแอปพลิเคชันปลอมที่ทำทีว่าเป็นเครื่องมืออำนวยความสะดวกที่ไม่มีอันตรายใด ๆ ซึ่งแอปพลิเคชันเหล่านี้จะทำหน้าที่เป็นช่องทางในการแสดงโฆษณาที่เป็นอันตรายอีกทอดหนึ่งเพื่อโปรโมตแอปพลิเคชันอื่น ๆ ในเครื่อข่าย Trapdoor ที่ถูกออกแบบมาเพื่อฉ้อโกงโดยเฉพาะ ผ่านการจำลองการกดหน้าจออัตโนมัติ ตลอดจนเปิดหน้าต่างเว็บแบบซ่อนไว้ เพื่อเข้าถึงโดเมนที่ถูกควบคุมโดยผู้ไม่หวังดีอีกที และดำเนินการส่ง request ads ต่อไป
ข้อสังเกตที่สำคัญคือ มีเพียงแอปพลิเคชันในขั้นตอนที่สองเท่านั้น ที่ถูกใช้งานในการฉ้อโกง โดยมีขั้นตอนคือ แอปพลิเคชันที่ถูกดาวน์โหลดมาแบบปกติถูกเปิดใช้งาน ระบบจะทำการแสดงข้อความแจ้งเตือนปลอมแบบ pop-up ที่เลียนแบบข้อความแจ้งเตือนอัปเดตแอปพลิเคชัน เพื่อหลอกล่อให้ผู้ใช้งานติดตั้งแอปพลิเคชันในขั้นตอนถัดไป
พฤติกรรมนี้บ่งบอกว่า Payload จะถูกเปิดใช้งานเฉพาะกับผู้ที่ตกเป็นเหยื่อของแคมเปญโฆษณาเท่านั้น หรือหากกล่าวอีกนัยหนึ่งคือ ผู้ใดก็ตามที่ดาวน์โหลดแอปพลิเคชันโดยตรงจาก Play Store หรือทำการ Sideload แอปพลิเคชันเข้ามา จะไม่ตกเป็นเป้าหมายของการโจมตีนี้ นอกเหนือจากเทคนิคการเลือกเปิดใช้งานเฉพาะกลุ่มนี้แล้ว Trapdoor ยังนำเทคนิคต่อต้านการวิเคราะห์ และการอำพรางโค้ดหลากหลายรูปแบบมาใช้เพื่อหลบเลี่ยงการตรวจจับอีกด้วย
Lindsay Kaya รองประธานฝ่าย Threat Intelligence บริษัท HUMAN ระบุว่า "ปฏิบัติการนี้ใช้ซอฟต์แวร์จริงที่ใช้กันในชีวิตประจำวัน รวมถึงเทคนิคการอำพรางโค้ด และการต่อต้านการวิเคราะห์หลายรูปแบบ เช่น การปลอมแปลงเป็น SDK ที่ถูกกฏหมายเพื่อรวมเข้ากับระบบ โดยมีเป้าหมายเพื่อช่วยแพร่กระจายโฆษณาที่เป็นอันตราย การสร้างรายได้จากโฆษณาแบบซ่อนไว้ และการแพร่กระจายมัลแวร์แบบหลายขั้นตอน (Multi-Stage Malware Distribution) เข้าด้วยกัน"
สืบเนื่องจากการรายงานภัยคุกคาม ทาง Google ได้ดำเนินการลบแอปพลิเคชันที่เป็นอันตรายทั้งหมดเท่าที่สามารถระบุได้ ออกจาก Google Play Store เรียบร้อยแล้ว ซึ่งเป็นการยับยั้งปฏิบัติการดังกล่าวได้อย่างมีประสิทธิภาพ ทั้งนี้ สามารถตรวจสอบรายชื่อแอปพลิเคชัน Android ทั้งหมดได้จาก https://humanprod[.]wpenginepowered[.]com/wp-content/uploads/Trapdoor-Apps[.]html
Gavin Reid ประธานเจ้าหน้าที่ฝ่ายความมั่นคงปลอดภัยสารสนเทศ (CISO) ของบริษัท HUMAN ระบุว่า "Trapdoor แสดงให้เห็นว่ากลุ่มมิจฉาชีพที่มีความพยายามสูง สามารถเปลี่ยนการติดตั้งแอปพลิเคชันในชีวิตประจำวันทั่วไป ให้กลายเป็นวงจรที่สามารถสร้างรายได้ด้วยตัวเอง สำหรับใช้ในแคมเปญที่เป็นอันตราย และการฉ้อโกงโฆษณา (Ad Fraud) ได้อย่างไร" "นี่เป็นอีกหนึ่งตัวอย่างของการที่ผู้ไม่หวังดีได้นำเครื่องมือที่ถูกต้อง เช่น ซอฟต์แวร์ระบุที่มาของการติดตั้ง มาปรับใช้เพื่อสนับสนุนแคมเปญฉ้อโกงของตน พร้อมทั้งเลี่ยงการตรวจจับได้"
ทางทีม Satori ยืนยันว่าจะคอยติดตามเพื่อขัดขวางปฏิบัติการทั้งหมดนี้อย่างต่อเนื่องต่อไป "ด้วยการเชื่อมโยงแอปพลิเคชันเครื่องมือสำหรับอำนวยความสะดวก, โดเมนถอนเงินในรูปแบบ HTML5 และเทคนิคการเลือกเปิดใช้งานเฉพาะกลุ่มเพื่อหลีกเลี่ยงการตรวจจับจากนักวิจัยเข้าด้วยกัน แสดงให้เห็นว่ากลุ่มผู้ไม่หวังดีนี้มีการปรับเปลี่ยน และพัฒนาอยู่ตลอดเวลา"
ที่มา: Thehackernews
You must be logged in to post a comment.