🔍 Contexte
Publié le 19 mai 2026 par Imran Azad sur le blog de HUMAN Security, cet article présente les conclusions de l’équipe Satori Threat Intelligence and Research Team concernant l’opération Trapdoor, une campagne de fraude publicitaire Android de grande envergure détectée et neutralisée par HUMAN.
🎯 Description de l’opération Trapdoor
Trapdoor est un schéma Android multi-étapes qui fusionne malvertising (distribution) et fraude publicitaire (monétisation) en un système auto-entretenu :
- 455 applications Android malveillantes impliquées
- 183 domaines C2 contrôlés par les acteurs de la menace
- 659 millions de bid requests par jour au pic de l’activité
- 24 millions de téléchargements d’applications liées à l’opération
⚙️ Mécanisme en deux étapes
Étape 1 – Distribution via malvertising : L’utilisateur télécharge une application utilitaire légitime en apparence (ex : lecteur PDF) depuis le Google Play Store. Après installation, l’app lance des campagnes de malvertising affichant une fausse alerte de mise à jour. Si l’utilisateur clique, une seconde application malveillante est installée.
Étape 2 – Fraude publicitaire via WebView cachée : La seconde app lance une WebView plein écran cachée, se connecte à un domaine C2, puis charge des sites HTML5 de jeux ou d’actualités contrôlés par les attaquants. Ces sites utilisent des gestes tactiles pré-programmés pour simuler des interactions humaines avec des publicités et générer des revenus frauduleux.
💰 Boucle auto-financée
Les revenus publicitaires frauduleux sont réinjectés dans des dépenses de malvertising, permettant d’acquérir de nouveaux utilisateurs et d’alimenter la croissance de l’opération. Trapdoor fonctionne ainsi comme un moteur de croissance auto-suffisant plutôt qu’un botnet statique.
🛠️ Techniques notables
- Abus des outils d’attribution marketing : les apps intègrent un SDK d’attribution et inspectent les valeurs
tracker_namepour n’activer les comportements malveillants (WebView cachée, interactions automatisées) que pour les installations provenant des campagnes des attaquants, laissant les installations organiques et les environnements de recherche propres. - Infrastructure cashout partagée : les sites HTML5 utilisés comme couche de monétisation sont communs à plusieurs opérations : SlopAds, Low5, BADBOX 2.0 et Trapdoor.
🔗 Liens avec d’autres opérations
Trapdoor s’inscrit dans une famille de tactiques évolutives identifiées par Satori, incluant SlopAds, Low5, BADBOX 2.0 et IconAds, partageant notamment l’usage de sites HTML5 comme couche de cashout commune.
📄 Nature de l’article
Il s’agit d’une publication de recherche produite par l’équipe Satori de HUMAN Security, visant à documenter les tactiques, techniques et procédures (TTPs) de l’opération Trapdoor et à signaler l’émergence d’une famille de tactiques cybercriminelles évolutives dans le domaine de la fraude publicitaire mobile.
🧠 TTPs et IOCs détectés
TTP
- T1412 — Capture SMS Messages (Collection)
- T1444 — Masquerade as Legitimate Application (Defense Evasion)
- T1418 — Software Discovery (Discovery)
- T1437 — Application Layer Protocol (Command and Control)
- T1516 — Input Injection (Impact)
- T1627 — Execution Guardrails (Defense Evasion)
- T1406 — Obfuscated Files or Information (Defense Evasion)
Malware / Outils
- Trapdoor (other)
- SlopAds (other)
- Low5 (other)
- BADBOX 2.0 (botnet)
- IconAds (other)
🟡 Indice de vérification factuelle : 40/100 (moyenne)
- ⬜ humansecurity.com — source non référencée (0pts)
- ✅ 7728 chars — texte complet (fulltext extrait) (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 7 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.humansecurity.com/learn/blog/trapdoor-borrows-from-an-evolving-family-of-cyber-crime-tactics-to-self-fund-ad-fraud/