Tusenvis av Android-annonseprogrammer gjemmer seg i falske, knekte pakker

En storstilt adware-kampanje rettet mot Android-enheter har blitt oppdaget, som involverer tusenvis av apper forkledd som crackte eller modifiserte versjoner av populære applikasjoner. Kampanjen, som har pågått siden oktober 2022, har som mål å generere inntekter ved å bombardere brukere med uønskede annonser. Trusselaktørene bak har imidlertid muligheten til å bytte taktikk og distribuere andre typer skadelig programvare som banktrojanere eller løsepengeprogramvare for å stjele sensitiv informasjon.

I følge en teknisk rapport fra cybersikkerhetsselskapet Bitdefender, har omtrent 60 000 unike apper som bærer adware blitt identifisert. Flertallet av påvisninger er funnet i land inkludert USA, Sør-Korea, Brasil, Tyskland, Storbritannia, Frankrike, Kasakhstan, Romania og Italia.

Distribusjon og falske apper

Spesielt er ingen av disse ondsinnede appene distribuert gjennom den offisielle Google Play-butikken. I stedet blir brukere som søker etter populære apper som Netflix, PDF-lesere, sikkerhetsprogramvare eller knekte versjoner av YouTube på søkemotorer omdirigert til annonsesider som er vert for skadelig programvare.

Når de er installert, tar disse appene tiltak for å unngå gjenkjenning, siden de ikke har noen synlige ikoner eller navn. Videre, når brukere starter appen for første gang, får de vist en melding som hevder at appen er utilgjengelig i deres region og ber dem om å avinstallere den, mens den ondsinnede aktiviteten forblir aktiv i bakgrunnen.

Driftsmodus for de falske appene

Et bemerkelsesverdig aspekt ved denne kampanjen er adware's modus operandi. Til å begynne med forblir adware i dvale i noen dager og aktiveres deretter når offeret låser opp telefonen sin, og viser fullskjermannonser ved hjelp av Android WebView.

I en egen oppdagelse fant nettsikkerhetsfirmaet CloudSEK den useriøse SpinOK SDK, tidligere avslørt av Doctor Web, innebygd i 193 apper på Google Play Store, med totalt 30 millioner nedlastinger. Denne modulen presenterer seg selv som en måte å engasjere brukere med minispill og oppgaver for å vinne belønninger, men inneholder faktisk ondsinnede funksjoner for å stjele filer og manipulere innholdet på utklippstavlen.

I tillegg avdekket SonicWall Capture Labs Threat-forskningsteamet en annen stamme av Android-malware som gir seg ut som legitime apper og utnytter operativsystemets tilgjengelighetstjenester for å samle inn et bredt spekter av informasjon fra kompromitterte enheter. Denne typen angrep kan føre til ulike uredelige aktiviteter, inkludert økonomisk svindel og identitetstyveri.