Χιλιάδες εφαρμογές Android Adware κρύβονται σε πλαστά σπασμένα πακέτα
Ανακαλύφθηκε μια μεγάλης κλίμακας διαφημιστική καμπάνια που στοχεύει συσκευές Android, η οποία περιλαμβάνει χιλιάδες εφαρμογές μεταμφιεσμένες ως σπασμένες ή τροποποιημένες εκδόσεις δημοφιλών εφαρμογών. Η καμπάνια, που βρίσκεται σε εξέλιξη από τον Οκτώβριο του 2022, στοχεύει στη δημιουργία εσόδων βομβαρδίζοντας τους χρήστες με ανεπιθύμητες διαφημίσεις. Ωστόσο, οι παράγοντες απειλών πίσω από αυτό έχουν τη δυνατότητα να αλλάζουν τακτική και να διανέμουν άλλους τύπους κακόβουλου λογισμικού, όπως τραπεζικά Trojans ή ransomware για την κλοπή ευαίσθητων πληροφοριών.
Σύμφωνα με μια τεχνική έκθεση από την εταιρεία κυβερνοασφάλειας Bitdefender, έχουν εντοπιστεί περίπου 60.000 μοναδικές εφαρμογές που φέρουν το adware. Η πλειονότητα των ανιχνεύσεων έχει βρεθεί σε χώρες όπως οι Ηνωμένες Πολιτείες, η Νότια Κορέα, η Βραζιλία, η Γερμανία, το Ηνωμένο Βασίλειο, η Γαλλία, το Καζακστάν, η Ρουμανία και η Ιταλία.
Διανομή και πλαστογραφημένες εφαρμογές
Συγκεκριμένα, καμία από αυτές τις κακόβουλες εφαρμογές δεν διανέμεται μέσω του επίσημου Google Play Store. Αντίθετα, οι χρήστες που αναζητούν δημοφιλείς εφαρμογές όπως το Netflix, προγράμματα προβολής PDF, λογισμικό ασφαλείας ή σπασμένες εκδόσεις του YouTube στις μηχανές αναζήτησης ανακατευθύνονται σε σελίδες διαφημίσεων που φιλοξενούν το κακόβουλο λογισμικό.
Μόλις εγκατασταθούν, αυτές οι εφαρμογές λαμβάνουν μέτρα για την αποφυγή εντοπισμού, καθώς δεν έχουν ορατά εικονίδια ή ονόματα. Επιπλέον, όταν οι χρήστες εκκινούν την εφαρμογή για πρώτη φορά, τους εμφανίζεται ένα μήνυμα που ισχυρίζεται ότι η εφαρμογή δεν είναι διαθέσιμη στην περιοχή τους και τους ζητά να την απεγκαταστήσουν, ενώ η κακόβουλη δραστηριότητα παραμένει ενεργή στο παρασκήνιο.
Τρόπος λειτουργίας των ψεύτικων εφαρμογών
Μια αξιοσημείωτη πτυχή αυτής της καμπάνιας είναι ο τρόπος λειτουργίας του adware. Αρχικά, το adware παραμένει αδρανές για μερικές ημέρες και στη συνέχεια ενεργοποιείται όταν το θύμα ξεκλειδώνει το τηλέφωνό του, προβάλλοντας διαφημίσεις σε πλήρη οθόνη χρησιμοποιώντας το Android WebView.
Σε μια ξεχωριστή ανακάλυψη, η εταιρεία κυβερνοασφάλειας CloudSEK βρήκε το αδίστακτο SpinOK SDK, που είχε αποκαλυφθεί προηγουμένως από τον Doctor Web, ενσωματωμένο σε 193 εφαρμογές στο Google Play Store, με συνολικά 30 εκατομμύρια λήψεις. Αυτή η ενότητα παρουσιάζεται ως ένας τρόπος να προσελκύσετε χρήστες με μίνι παιχνίδια και εργασίες για να κερδίσετε ανταμοιβές, αλλά στην πραγματικότητα περιέχει κακόβουλες λειτουργίες για την κλοπή αρχείων και τον χειρισμό του περιεχομένου του προχείρου.
Επιπλέον, η ερευνητική ομάδα SonicWall Capture Labs Threat αποκάλυψε ένα άλλο είδος κακόβουλου λογισμικού Android που μεταμφιέζεται σε νόμιμες εφαρμογές και εκμεταλλεύεται τις υπηρεσίες προσβασιμότητας του λειτουργικού συστήματος για να συλλέξει ένα ευρύ φάσμα πληροφοριών από παραβιασμένες συσκευές. Αυτός ο τύπος επίθεσης μπορεί να οδηγήσει σε διάφορες δόλιες δραστηριότητες, συμπεριλαμβανομένης της οικονομικής απάτης και της κλοπής ταυτότητας.
