659 triệu yêu cầu quảng cáo giả mỗi ngày - con số này nghe có vẻ phi thực tế nhưng đó chính xác là những gì chiến dịch lừa đảo quảng cáo Trapdoor đã thực hiện. Nhóm nghiên cứu bảo mật mạng từ HUMAN's Satori Threat Intelligence vừa công bố chi tiết về hoạt động lừa đảo quảng cáo (ad fraud) và quảng cáo độc hại (malvertising) nhắm vào người dùng Android. Chiến dịch này sử dụng 455 ứng dụng Android độc hại và 183 tên miền command-and-control (C2 - máy chủ điều khiển từ xa) do các tác nhân tấn công sở hữu. Hạ tầng khổng lồ này đã trở thành một đường ống lừa đảo đa tầng có quy mô chưa từng thấy.

Khi 455 ứng dụng biến thành vũ khí lừa đảo tập thể

Trapdoor không chỉ là một chiến dịch tấn công đơn thuần mà là một hệ sinh thái lừa đảo được thiết kế cực kỳ tinh vi. Các ứng dụng Android bị nhiễm độc sẽ tạo ra các yêu cầu bid quảng cáo giả mạo với tần suất khủng khiếp - 659 triệu lần mỗi ngày. Con số này không chỉ gây sốc về quy mô mà còn cho thấy mức độ tổn hại kinh tế mà ngành quảng cáo số phải gánh chịu. Chúng tôi ước tính với tỷ lệ click-through và conversion thông thường, các nhà quảng cáo có thể đã mất từ vài triệu đến hàng chục triệu USD chỉ trong thời gian ngắn.

Điểm đáng lo ngại nhất của Trapdoor là khả năng ngụy trang. Thay vì hoạt động như malware truyền thống, các ứng dụng này vẫn duy trì chức năng bình thường để tránh bị phát hiện bởi người dùng. Người dùng vẫn có thể sử dụng ứng dụng như thường lệ trong khi không hề biết thiết bị của mình đang trở thành công cụ sinh lời bất chính cho tội phạm mạng. Theo báo cáo, 183 tên miền C2 được phân bố khắp thế giới để tăng khả năng chống phát hiện và đảm bảo hoạt động liên tục.

Cơ chế tấn công đa tầng tinh vi như thế nào?

Kiến trúc của Trapdoor được xây dựng theo mô hình multi-stage fraud (lừa đảo đa giai đoạn), tận dụng sự phức tạp của hệ sinh thái quảng cáo số hiện tại. Giai đoạn đầu, các ứng dụng độc hại sẽ thu thập thông tin thiết bị và hành vi người dùng để tạo ra profile giả mạo có độ tin cậy cao. Giai đoạn thứ hai, chúng sẽ gửi yêu cầu bid đến các ad exchange (sàn giao dịch quảng cáo) với dữ liệu giả mạo này, khiến các thuật toán tự động tin rằng đây là người dùng thật có giá trị cao.

Cơ chế điều phối từ 183 máy chủ C2 đảm bảo hoạt động lừa đảo được phân tán và khó phát hiện. Mỗi máy chủ C2 quản lý một nhóm ứng dụng nhất định, tạo ra các mẫu traffic quảng cáo khác nhau để tránh bị các hệ thống chống gian lận phát hiện. Chúng tôi phân tích thấy các tác nhân tấn công đã nghiên cứu kỹ các thuật toán machine learning được sử dụng trong ad fraud detection và thiết kế các kỹ thuật đối phó cực kỳ tinh vi.

Tác động kinh tế và danh tiếng ngành quảng cáo số

Con số 659 triệu yêu cầu bid giả mỗi ngày không chỉ là thống kê khô khan mà phản ánh một cuộc khủng hoảng niềm tin trong ngành quảng cáo số. Với giá bid trung bình từ 0.5-2 USD cho mỗi nghìn impression, thiệt hại trực tiếp có thể lên tới hàng triệu USD mỗi ngày. Tuy nhiên, tác động gián tiếp còn nghiêm trọng hơn khi các nhà quảng cáo bắt đầu nghi ngờ hiệu quả của toàn bộ hệ sinh thái quảng cáo di động.

Tại Việt Nam, thị trường quảng cáo số năm 2023 đạt gần 2 tỷ USD theo số liệu từ IAB Vietnam, trong đó mobile advertising chiếm hơn 60%. Nếu tỷ lệ ad fraud toàn cầu khoảng 15-20% được áp dụng cho thị trường Việt Nam, chúng ta có thể mất từ 200-400 triệu USD mỗi năm vì các hoạt động lừa đảo tương tự Trapdoor. Con số này chưa kể đến việc các doanh nghiệp Việt Nam quảng cáo trên các nền tảng quốc tế cũng bị ảnh hưởng.

Hành động bảo vệ ngay lập tức cho doanh nghiệp và cá nhân

Đối với doanh nghiệp đang chạy quảng cáo, bước đầu tiên là yêu cầu các đối tác ad network cung cấp báo cáo chi tiết về traffic quality và fraud detection. Thiết lập monitoring alerts cho các chỉ số bất thường như CTR (click-through rate) quá cao hoặc conversion rate bất thường thấp. Sử dụng các công cụ third-party verification như DoubleVerify, IAS hoặc MOAT để kiểm tra độc lập chất lượng traffic. Đặc biệt quan trọng, phải yêu cầu app-ads.txt implementation để đảm bảo inventory quảng cáo được mua từ các nguồn hợp pháp.

Người dùng cá nhân cần kiểm tra ngay danh sách ứng dụng đã cài đặt, đặc biệt các ứng dụng từ nguồn không chính thức hoặc third-party store. Cài đặt công cụ bảo mật di động như Malwarebytes Mobile Security hoặc Bitdefender Mobile Security để quét định kỳ. Bật tính năng Play Protect trên Google Play Store và chỉ tải ứng dụng từ các nhà phát triển có uy tín với lượng đánh giá cao. Quan trọng nhất, thường xuyên kiểm tra data usage để phát hiện các hoạt động bất thường - nếu ứng dụng tiêu thụ data nhiều hơn bình thường mà không có lý do rõ ràng, đó có thể là dấu hiệu của ad fraud malware.