Trapdoor è il nome che nessuno avrebbe voluto leggere accanto al Play Store, eppure eccolo qui: una campagna di frode pubblicitaria che ha coinvolto 455 app Android e totalizzato oltre 24 milioni di download prima che Google riuscisse a intervenire. A scoprirla è stato il team Satori Threat Intelligence di HUMAN Security, che ha ricostruito nel dettaglio un’operazione tanto sofisticata quanto spudorata.
Come funzionava Trapdoor e perché è passata inosservata così a lungo
Le app coinvolte nella campagna Trapdoor si presentavano con facce rassicuranti. Visualizzatori PDF, strumenti per la pulizia del dispositivo, ottimizzatori di prestazioni. Roba che chiunque potrebbe installare senza pensarci due volte, ed è esattamente su questo che contavano gli autori della truffa. L’infrastruttura alle spalle era tutt’altro che artigianale: HUMAN Security ha identificato ben 183 domini usati come server di comando e controllo per orchestrare tutta l’operazione.
Il meccanismo era strutturato in due fasi distinte. Nella prima, le app mostravano falsi avvisi all’utente, simulando aggiornamenti di sistema o notifiche urgenti. Lo scopo era uno solo: convincere chi stava dall’altra parte dello schermo a installare ulteriori applicazioni, anche queste controllate dalla stessa organizzazione criminale. Ed era proprio nella seconda fase che il gioco si faceva serio. Le nuove app attivavano WebView nascoste, si collegavano a domini HTML5 degli attaccanti e generavano richieste pubblicitarie in modo completamente automatico, senza che l’utente se ne accorgesse minimamente.
Al picco della sua attività, Trapdoor produceva circa 659 milioni di richieste pubblicitarie al giorno. La maggior parte del traffico risultava provenire dagli Stati Uniti, il che dà un’idea piuttosto chiara della scala su cui operava questa rete.
Una strategia pensata per aggirare i controlli di Google
C’è un aspetto tecnico che rende Trapdoor particolarmente insidiosa e che vale la pena capire bene. Le app si comportavano in modo molto diverso a seconda di come venivano installate. Quando qualcuno le scaricava direttamente dal Play Store, le probabilità che si attivassero i comportamenti fraudolenti erano nettamente più basse. Era una scelta deliberata, non un caso. L’obiettivo era chiaro: superare i controlli automatici di Google senza destare sospetti e restare sotto il radar il più a lungo possibile.
Le cose cambiavano radicalmente quando l’installazione avveniva attraverso campagne pubblicitarie gestite direttamente dall’organizzazione criminale. In quel caso, le app si sentivano al sicuro e attivavano tutto il loro arsenale. Una doppia faccia, insomma, progettata con una certa furbizia per massimizzare i profitti riducendo al minimo il rischio di essere scoperte.
Google ha confermato di aver rimosso tutte le app coinvolte dal Play Store. Questo è il lato positivo della storia. Quello meno positivo è che la campagna è rimasta attiva abbastanza a lungo da diventare un caso di studio nel settore della sicurezza informatica. E il punto centrale resta sempre lo stesso: il problema non è quasi mai la prima app che si installa, ma quello che quell’app cerca di far installare dopo. Qualsiasi notifica che chiede di aggiornare qualcosa al di fuori del normale ciclo di aggiornamenti di sistema dovrebbe far scattare un campanello d’allarme, sempre.