Zum Inhalt springen

Trapdoor: Android-Malware-Operation mit 455 Apps und 659 Millionen täglichen Ad-Anfragen

Auf den Punkt: Die Trapdoor-Operation missbrauchte Attributionssoftware und mehrstufige App-Ketteninstallation, um Ad-Betrug gezielt zu aktivieren und dabei legitime Direktdownloads unauffällig zu lassen.

Ein Netzwerk von 455 bösartigen Android-Apps hat täglich bis zu 659 Millionen Werbeanfragen erzeugt und über 24 Millionen Downloads erreicht. Die von Google Play entfernte Operation Trapdoor kombinierte Phishing-Apps mit verstecktem Ad-Betrug und nutzte Attributionswerkzeuge, um nur gezielt beworbene Downloads zu infizieren.

Das Sicherheitsunternehmen HUMAN dokumentierte eine zweistufige Infektionskette: Nutzer installieren eine scheinbar harmlose Utility-App wie einen PDF-Viewer oder Aufräumtool. Diese erste App triggert Malvertising-Kampagnen und erzeugt Fake-Update-Benachrichtigungen, die zu einer zweiten, bösartigen App führen. Nur diese Sekundär-App aktiviert die eigentliche Betrugsfunktion — verborgen in WebViews, die zu 183 kontrollierter C2-Domains laden und automatisiert Werbeplatzierungen anfordern. Ein Kernmerkmal: Die Aktivierung erfolgt selektiv nur für Nutzer, die durch bezahlte Kampagnen der Angreifer installiert haben. Organische Direktinstallationen oder Sideloads bleiben unauffällig.

Der Betrug funktioniert selbstverstärkend. Die Adresse-Revenue aus verstecktem Ad-Fraud finanziert neue Malvertising-Kampagnen, die wiederum mehr infizierte Apps verbreiten. Der Großteil der 659 Millionen täglichen Anfragen stammte aus den USA (über 75 Prozent). Trapdoor nutzte HTML5-basierte Auszahlungsseiten, ein Pattern, das bereits bei früheren Betrugsnetzen wie SlopAds, Low5 und BADBOX 2.0 beobachtet wurde. Die betroffenen Apps verwendeten Obfuskation und Anti-Analyse-Techniken, etwa durch Imitation legitimer SDKs, um der Erkennung auszuweichen.

Google hat nach verantwortungsvoller Offenlegung alle 455 identifizierten Apps aus dem Play Store entfernt und damit die Operation wirksam neutralisiert.


Quelle: ainews-dev.lumi-systems.io · Erschienen 19. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.

Share on: