Skema Penipuan Iklan Trapdoor di Android Capai 659 Juta Permintaan Setiap Hari

Para peneliti keamanan siber mengungkap sebuah operasi penipuan iklan dan malvertising baru bernama Trapdoor yang menargetkan pengguna perangkat Android. Operasi ini melibatkan 455 aplikasi Android berbahaya dan 183 domain command-and-control (C2) yang dikuasai pelaku kejahatan siber, menjadikan infrastruktur tersebut sebagai jalur utama untuk penipuan multi-tahap.

Bagaimana Skema Trapdoor Bekerja

Menurut tim Satori Threat Intelligence and Research dari HUMAN, pengguna tanpa sadar mengunduh aplikasi yang dimiliki pelaku, biasanya berupa aplikasi utilitas seperti penampil PDF atau alat pembersih perangkat.

"Pengguna tanpa sadar mengunduh aplikasi milik pelaku, seringkali berupa aplikasi utilitas seperti penampil PDF atau alat pembersih perangkat," jelas para peneliti Louisa Abel, Ryan Joye, João Marques, João Santos, dan Adam Sell dalam laporan mereka.

Aplikasi tersebut kemudian memicu kampanye malvertising yang memaksa pengguna untuk mengunduh aplikasi tambahan milik pelaku. Aplikasi kedua ini menjalankan WebView tersembunyi, memuat domain HTML5 yang dikendalikan pelaku, dan meminta iklan.

Kampanye ini bersifat self-sustaining karena setiap pemasangan aplikasi secara organik berubah menjadi siklus penghasilan ilegal yang dapat mendanai kampanye malvertising selanjutnya. Salah satu ciri khas operasi ini adalah penggunaan situs cashout berbasis HTML5, pola yang juga ditemukan pada kelompok ancaman sebelumnya seperti SlopAds, Low5, dan BADBOX 2.0.

Skala dan Dampak Operasi Trapdoor

Pada puncak operasi, Trapdoor menghasilkan 659 juta permintaan tawaran iklan (bid requests) setiap hari, dengan aplikasi Android terkait telah diunduh lebih dari 24 juta kali. Sebagian besar lalu lintas berasal dari Amerika Serikat, yang menyumbang lebih dari tiga perempat dari total volume.

Pelaku juga menyalahgunakan alat atribusi pemasangan (install attribution tools) yang biasanya digunakan pemasar sah untuk melacak bagaimana pengguna menemukan aplikasi. Alat ini dimanfaatkan untuk menyalakan perilaku berbahaya hanya pada pengguna yang diperoleh melalui kampanye iklan yang dijalankan pelaku, sementara mengabaikan pengguna yang mengunduh aplikasi secara organik.

Teknik Canggih untuk Menghindari Deteksi

Trapdoor menggabungkan dua pendekatan berbeda, distribusi malvertising dan monetisasi penipuan iklan tersembunyi. Pengguna yang tidak curiga mengunduh aplikasi palsu yang menyamar sebagai utilitas biasa, yang kemudian berfungsi sebagai saluran untuk menayangkan iklan berbahaya dari aplikasi Trapdoor lain yang dirancang untuk melakukan penipuan sentuhan otomatis, membuka WebView tersembunyi, memuat domain pengaburan yang dikendalikan pelaku, dan meminta iklan.

Hanya aplikasi tahap kedua yang digunakan untuk memicu penipuan. Setelah aplikasi yang diunduh secara organik diluncurkan, aplikasi tersebut menampilkan peringatan palsu yang menyerupai pesan pembaruan aplikasi untuk menipu pengguna agar menginstal aplikasi tahap berikutnya.

Perilaku ini menunjukkan bahwa payload hanya diaktifkan untuk korban kampanye iklan tersebut, sehingga pengguna yang mengunduh langsung dari Play Store atau melalui sideload tidak akan menjadi target. Selain teknik aktivasi selektif ini, Trapdoor juga memakai berbagai teknik anti-analisis dan obfuscation untuk menghindari deteksi.

"Operasi ini menggunakan perangkat lunak sehari-hari yang nyata dan beberapa teknik obfuscation serta anti-analisis—seperti menyamar sebagai SDK yang sah agar menyatu—untuk menggabungkan distribusi malvertising, monetisasi penipuan iklan tersembunyi, dan distribusi malware multi-tahap," jelas Lindsay Kaye, wakil presiden intelijen ancaman di HUMAN.

Respons dan Tindakan Google

Setelah pengungkapan bertanggung jawab, Google segera mengambil langkah dan menghapus semua aplikasi berbahaya yang teridentifikasi dari Google Play Store, sehingga operasi ini berhasil dinetralisir. Daftar lengkap aplikasi Android yang terlibat tersedia untuk publik.

Gavin Reid, Chief Information Security Officer di HUMAN, menyatakan, "Trapdoor menunjukkan bagaimana para penipu gigih mengubah pemasangan aplikasi sehari-hari menjadi jalur pendanaan mandiri untuk malvertising dan penipuan iklan. Ini adalah contoh lain bagaimana pelaku membajak alat sah—seperti perangkat lunak atribusi—untuk membantu kampanye penipuan mereka dan menghindari deteksi."

"Dengan menggabungkan aplikasi utilitas, domain cashout HTML5, dan teknik aktivasi selektif yang tersembunyi dari peneliti, para pelaku terus berevolusi, dan tim Satori berkomitmen untuk melacak dan mengganggu mereka secara besar-besaran," tambahnya.

Analisis Redaksi

Menurut pandangan redaksi, skema Trapdoor menjadi peringatan penting betapa kompleks dan canggihnya teknik penipuan iklan di ekosistem Android saat ini. Modus yang menggabungkan aplikasi utilitas sehari-hari dan pemanfaatan alat atribusi pemasangan memperlihatkan tingkat adaptasi tinggi pelaku kejahatan siber dalam mengeksploitasi alat digital yang awalnya dirancang untuk pemasaran yang sah.

Efek dari operasi seperti ini tidak hanya merugikan pengiklan dan platform periklanan, tetapi juga mengancam kepercayaan pengguna terhadap aplikasi yang mereka unduh. Ini dapat menghambat perkembangan aplikasi yang sah dan mengikis ekosistem aplikasi yang sehat. Pengguna harus tetap waspada terhadap aplikasi yang meminta instalasi lanjutan melalui pop-up mencurigakan, dan Google serta pengembang harus meningkatkan pengawasan serta transparansi dalam distribusi aplikasi.

Ke depan, penting untuk terus memantau evolusi teknik penipuan ini dan memperkuat kolaborasi antara perusahaan keamanan, platform distribusi aplikasi, dan regulator untuk menindak tegas praktik ilegal yang merugikan semua pihak.

Untuk informasi lebih lanjut mengenai operasi ini, kunjungi laporan lengkapnya di The Hacker News dan ikuti perkembangan terkini melalui sumber terpercaya lainnya.