Tusindvis af Android-adware-apps gemmer sig i falske crackede pakker

En storstilet adware-kampagne rettet mod Android-enheder er blevet opdaget, som involverer tusindvis af apps forklædt som crackede eller modderede versioner af populære applikationer. Kampagnen, der har været i gang siden oktober 2022, har til formål at generere indtægter ved at bombardere brugere med uønskede annoncer. Men trusselsaktørerne bag har evnen til at skifte taktik og distribuere andre typer malware såsom banktrojanske heste eller ransomware for at stjæle følsom information.

Ifølge en teknisk rapport fra cybersikkerhedsfirmaet Bitdefender er omkring 60.000 unikke apps, der bærer adware, blevet identificeret. De fleste påvisninger er fundet i lande, herunder USA, Sydkorea, Brasilien, Tyskland, Storbritannien, Frankrig, Kasakhstan, Rumænien og Italien.

Distribution og spoofede apps

Navnlig distribueres ingen af disse ondsindede apps gennem den officielle Google Play Butik. I stedet bliver brugere, der søger efter populære apps som Netflix, PDF-fremvisere, sikkerhedssoftware eller crackede versioner af YouTube på søgemaskiner, omdirigeret til annoncesider, der hoster malwaren.

Når de er installeret, træffer disse apps foranstaltninger for at undgå registrering, da de ikke har nogen synlige ikoner eller navne. Ydermere, når brugere starter appen for første gang, får de vist en besked, der hævder, at appen ikke er tilgængelig i deres område og beder dem om at afinstallere den, mens den ondsindede aktivitet forbliver aktiv i baggrunden.

Funktionsmåde for de falske apps

Et bemærkelsesværdigt aspekt af denne kampagne er adwarens modus operandi. Til at begynde med forbliver adwaren i dvale i et par dage og aktiveres derefter, når offeret låser sin telefon op og viser fuldskærmsannoncer ved hjælp af Android WebView.

I en separat opdagelse fandt cybersikkerhedsfirmaet CloudSEK det slyngelstatiske SpinOK SDK, tidligere offentliggjort af Doctor Web, indlejret i 193 apps i Google Play Butik, med i alt 30 millioner downloads. Dette modul præsenterer sig selv som en måde at engagere brugere med minispil og opgaver for at vinde belønninger, men indeholder faktisk ondsindede funktioner til at stjæle filer og manipulere udklipsholderens indhold.

Derudover afslørede SonicWall Capture Labs Threat-forskningsteamet en anden stamme af Android-malware, der udgiver sig som legitime apps og udnytter operativsystemets tilgængelighedstjenester til at indsamle en bred vifte af oplysninger fra kompromitterede enheder. Denne type angreb kan føre til forskellige svigagtige aktiviteter, herunder økonomisk bedrageri og identitetstyveri.