在行動裝置的生態系中,廣告詐騙(Ad Fraud)通常被認為只是刷流量的低階手段,但近期被揭露的 Trapdoor 案例顯示,攻擊者已經將其演變成一種高度自動化且具備自我資金供給能力的複雜管道。這次行動涉及 455 款 Android 應用程式,在巔峰時期每天能產生高達 6.59 億次的廣告出價請求(Bid Requests),總下載量突破 2,400 萬次。
理解廣告出價請求與詐騙邏輯
對於不熟悉廣告技術的工程師來說,首先要理解什麼是 Bid Request。在現代數位廣告中,當使用者開啟一個頁面時,系統會發出出價請求給廣告交換平台,詢問誰願意花錢在該位置投放廣告。Trapdoor 的核心目的就是偽造這些請求,讓廣告主以為有真實使用者在觀看廣告,從而非法獲取廣告費。
Trapdoor 的多階段攻擊流程
這次攻擊並非單一 App 完成所有動作,而是採取了分層的策略,將分發與變現功能拆分。
第一階段:誘餌應用程式 使用者首先會下載一些看似無害的工具類 App,例如 PDF 閱讀器或裝置清理工具。這些 App 本身並不直接進行詐騙,其目的是作為進入點。當使用者啟動這些 App 時,程式會彈出偽造的系統更新通知,誘導使用者下載第二階段的應用程式。
第二階段:詐騙執行個體 一旦使用者安裝了第二階段的 App,真正的攻擊才開始。這些 App 會在背景啟動隱藏的 WebView(一種在 App 內嵌入網頁的元件),載入攻擊者控制的 HTML5 網頁。這些網頁會不斷地請求廣告,並執行自動化觸發(Touch Fraud),模擬人類點擊行為來騙取廣告費。
利用歸因工具規避偵測
Trapdoor 最精巧的地方在於它對 Install Attribution Tools(安裝歸因工具)的濫用。歸因工具原本是給行銷人員使用的,用來追蹤使用者是透過哪個廣告渠道下載 App 的。
攻擊者利用這項技術實作了選擇性激活(Selective Activation)。如果使用者是直接從 Google Play 商店搜尋下載,或是透過側載(Sideload)安裝,App 會保持正常運作,不會觸發任何詐騙行為。只有當使用者是透過攻擊者投放的特定廣告渠道下載時,惡意功能才會被激活。
這種做法讓安全研究人員很難在沙箱環境或常規測試中發現問題,因為研究人員通常是直接下載 APK 進行分析,而不會觸發那個特定的歸因標記,導致 App 看起來完全合法。
反分析與隱匿手段
除了選擇性激活,Trapdoor 還採取了多種混淆(Obfuscation)技術。他們會偽裝成常見的第三方 SDK(軟體開發套件),讓惡意程式碼在分析工具中看起來像是正常的廣告或分析套件,從而混入正常的程式碼流中,降低被偵測的機率。
這種模式創造了一個自我循環的資金鏈:透過第一階段 App 吸引使用者,第二階段 App 獲利,而獲取的非法資金又被用來投放更多廣告,吸引更多受害者下載第一階段 App。
實務啟示與總結
Trapdoor 案例提醒我們,現代的惡意軟體不再僅僅是竊取資料,更多的是將合法工具(如歸因工具、WebView)組合起來進行規模化獲利。對於開發者而言,審查第三方 SDK 的權限以及監控 App 在背景是否產生異常的網路流量,是防範此類隱蔽詐騙的重要方向。
目前 Google 已將相關惡意 App 從 Play 商店移除,但這類利用廣告生態系漏洞的手段在行動端依然極具威脅。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。