Több ezer Android Adware-alkalmazás rejtőzik hamis repedt csomagokban

Nagyszabású, Android-eszközöket célzó reklámprogram-kampányt fedeztek fel, amelyben több ezer alkalmazás vesz részt népszerű alkalmazások feltört vagy módosított verzióinak álcázva. A 2022 októbere óta tartó kampány célja, hogy bevételt generáljon a felhasználók nem kívánt hirdetésekkel való bombázásával. A mögötte álló fenyegetés szereplői azonban képesek taktikát váltani, és más típusú rosszindulatú programokat, például banki trójaiakat vagy zsarolóprogramokat terjeszthetnek érzékeny információk ellopása érdekében.

A Bitdefender kiberbiztonsági vállalat technikai jelentése szerint körülbelül 60 000 egyedi alkalmazást azonosítottak, amelyek hordozzák a reklámprogramot. Az észlelések többségét az Egyesült Államokban, Dél-Koreában, Brazíliában, Németországban, az Egyesült Királyságban, Franciaországban, Kazahsztánban, Romániában és Olaszországban találták.

Terjesztés és hamisított alkalmazások

Figyelemre méltó, hogy ezen rosszindulatú alkalmazások egyikét sem terjesztik a hivatalos Google Play Áruházban. Ehelyett a népszerű alkalmazásokat, például a Netflixet, a PDF-megtekintőket, a biztonsági szoftvereket vagy a YouTube feltört verzióit kereső felhasználókat átirányítják a rosszindulatú programot tartalmazó hirdetési oldalakra.

A telepítés után ezek az alkalmazások intézkedéseket tesznek az észlelés elkerülése érdekében, mivel nincs látható ikonjuk vagy nevük. Továbbá, amikor a felhasználók először indítják el az alkalmazást, megjelenik egy üzenet, amely azt állítja, hogy az alkalmazás nem érhető el az ő régiójukban, és felszólítja őket az eltávolításra, miközben a rosszindulatú tevékenység aktív marad a háttérben.

A hamis alkalmazások működési módja

Ennek a kampánynak az egyik figyelemre méltó aspektusa az adware működési módja. Kezdetben a reklámprogram néhány napig nyugalmi állapotban marad, majd aktiválódik, amikor az áldozat feloldja telefonját, és teljes képernyős hirdetéseket jelenít meg az Android WebView segítségével.

Egy külön felfedezésben a CloudSEK kiberbiztonsági cég találta meg a Doctor Web által korábban nyilvánosságra hozott szélhámos SpinOK SDK-t, amely 193 alkalmazásba van beágyazva a Google Play Áruházban, összesen 30 millió letöltéssel. Ez a modul úgy mutatkozik be, mint egy módja annak, hogy a felhasználókat minijátékokkal és feladatokkal vonzza le jutalmak megszerzése érdekében, de valójában tartalmaz olyan rosszindulatú funkciókat, amelyek segítségével fájlokat lopnak el és manipulálják a vágólap tartalmát.

Ezenkívül a SonicWall Capture Labs Threat kutatócsoportja az Android rosszindulatú programjainak egy másik törzsét is feltárta, amely legitim alkalmazásoknak álcázza magát, és az operációs rendszer kisegítő szolgáltatásait kihasználva sokféle információt gyűjt a feltört eszközökről. Az ilyen típusú támadások különféle csaló tevékenységekhez vezethetnek, beleértve a pénzügyi csalást és a személyazonosság-lopást.