Tausende Android-Adware-Apps verstecken sich in gefälschten, geknackten Paketen

Es wurde eine groß angelegte Adware-Kampagne entdeckt, die auf Android-Geräte abzielte und Tausende von Apps umfasste, die als geknackte oder modifizierte Versionen beliebter Anwendungen getarnt waren. Die seit Oktober 2022 laufende Kampagne zielt darauf ab, Einnahmen zu generieren, indem Nutzer mit unerwünschter Werbung bombardiert werden. Die dahinter stehenden Bedrohungsakteure haben jedoch die Möglichkeit, ihre Taktik zu ändern und andere Arten von Malware wie Banking-Trojaner oder Ransomware zu verbreiten, um vertrauliche Informationen zu stehlen.

Laut einem technischen Bericht des Cybersicherheitsunternehmens Bitdefender wurden etwa 60.000 einzigartige Apps identifiziert, die die Adware enthalten. Die meisten Funde wurden in Ländern wie den Vereinigten Staaten, Südkorea, Brasilien, Deutschland, dem Vereinigten Königreich, Frankreich, Kasachstan, Rumänien und Italien festgestellt.

Verbreitung und gefälschte Apps

Insbesondere wird keine dieser bösartigen Apps über den offiziellen Google Play Store verbreitet. Stattdessen werden Benutzer, die in Suchmaschinen nach beliebten Apps wie Netflix, PDF-Viewern, Sicherheitssoftware oder geknackten Versionen von YouTube suchen, auf Anzeigenseiten weitergeleitet, auf denen die Malware gehostet wird.

Nach der Installation ergreifen diese Apps Maßnahmen, um einer Erkennung zu entgehen, da sie keine sichtbaren Symbole oder Namen haben. Wenn Benutzer die App zum ersten Mal starten, wird ihnen außerdem eine Meldung angezeigt, dass die App in ihrer Region nicht verfügbar ist, und sie werden aufgefordert, sie zu deinstallieren, während die schädliche Aktivität im Hintergrund aktiv bleibt.

Funktionsweise der Fake-Apps

Ein bemerkenswerter Aspekt dieser Kampagne ist die Vorgehensweise der Adware. Zunächst bleibt die Adware einige Tage lang inaktiv und wird dann aktiviert, wenn das Opfer sein Telefon entsperrt, und zeigt mithilfe von Android WebView Vollbildanzeigen an.

In einer separaten Entdeckung fand das Cybersicherheitsunternehmen CloudSEK das zuvor von Doctor Web veröffentlichte betrügerische SpinOK SDK, das in 193 Apps im Google Play Store eingebettet war und insgesamt 30 Millionen Downloads verzeichnete. Dieses Modul stellt eine Möglichkeit dar, Benutzer mit Minispielen und Aufgaben zu motivieren, um Belohnungen zu gewinnen, enthält jedoch tatsächlich bösartige Funktionen zum Stehlen von Dateien und zum Manipulieren von Inhalten in der Zwischenablage.

Darüber hinaus hat das Threat-Forschungsteam von SonicWall Capture Labs einen weiteren Android-Malware-Typ entdeckt, der sich als legitime Apps ausgibt und die Barrierefreiheitsdienste des Betriebssystems ausnutzt, um eine Vielzahl von Informationen von kompromittierten Geräten zu sammeln. Diese Art von Angriff kann zu verschiedenen betrügerischen Aktivitäten führen, darunter Finanzbetrug und Identitätsdiebstahl.