Tūkstančiai „Android“ reklaminių programų slepiasi netikruose sugadintuose paketuose

Buvo aptikta didelio masto reklaminių programų kampanija, skirta „Android“ įrenginiams, apimanti tūkstančius programų, užmaskuotų kaip nulaužtos arba modifikuotos populiarių programų versijos. Kampanija, vykdoma nuo 2022 m. spalio mėn., siekia gauti pajamų bombarduojant vartotojus nepageidaujamais skelbimais. Tačiau grėsmės veikėjai gali keisti taktiką ir platinti kitų tipų kenkėjiškas programas, pvz., bankininkystės Trojos arklys ar išpirkos reikalaujančias programas, kad pavogtų neskelbtiną informaciją.

Remiantis kibernetinio saugumo bendrovės „Bitdefender“ technine ataskaita, buvo identifikuota maždaug 60 000 unikalių programėlių, turinčių reklaminę programinę įrangą. Dauguma aptikimų buvo rasta tokiose šalyse kaip JAV, Pietų Korėja, Brazilija, Vokietija, Jungtinė Karalystė, Prancūzija, Kazachstanas, Rumunija ir Italija.

Platinimas ir apgaulingos programos

Pažymėtina, kad nė viena iš šių kenkėjiškų programų nėra platinama per oficialią „Google Play“ parduotuvę. Vietoj to, naudotojai, paieškos sistemose ieškantys populiarių programų, pvz., „Netflix“, PDF peržiūros priemonių, saugos programinės įrangos ar nulaužtų „YouTube“ versijų, nukreipiami į skelbimų puslapius, kuriuose yra kenkėjiška programa.

Įdiegtos šios programos imasi priemonių, kad būtų išvengta aptikimo, nes jose nėra matomų piktogramų ar pavadinimų. Be to, kai vartotojai pirmą kartą paleidžia programą, jiems rodomas pranešimas, kuriame teigiama, kad programa nepasiekiama jų regione, ir raginama ją pašalinti, o kenkėjiška veikla išlieka aktyvi fone.

Suklastotų programų veikimo režimas

Vienas pastebimų šios kampanijos aspektų yra reklaminės programos veikimo būdas. Iš pradžių reklaminė programinė įranga neveikia kelias dienas, o tada suaktyvinama, kai auka atrakina telefoną, rodydama skelbimus visame ekrane, naudodama „Android WebView“.

Atskirame atradime kibernetinio saugumo įmonė CloudSEK rado nesąžiningą SpinOK SDK, kurį anksčiau atskleidė „Doctor Web“, įterptą į 193 „Google Play“ parduotuvės programas, iš viso atsiųsta 30 mln. Šis modulis pristatomas kaip būdas įtraukti vartotojus į mini žaidimus ir užduotis, siekiant laimėti atlygį, tačiau iš tikrųjų jame yra kenkėjiškų funkcijų, skirtų pavogti failus ir manipuliuoti iškarpinės turiniu.

Be to, „SonicWall Capture Labs Threat“ tyrimų komanda atskleidė kitą „Android“ kenkėjiškų programų atmainą, kuri prisidengia teisėtomis programėlėmis ir naudoja operacinės sistemos pritaikymo neįgaliesiems paslaugas, kad iš pažeistų įrenginių rinktų daug informacijos. Tokio tipo išpuoliai gali sukelti įvairią nesąžiningą veiklą, įskaitant finansinį sukčiavimą ir tapatybės vagystę.