Tysiące aplikacji adware na Androida ukrywają się w fałszywych złamanych pakietach

Odkryto zakrojoną na szeroką skalę kampanię adware skierowaną na urządzenia z Androidem, obejmującą tysiące aplikacji podszywających się pod złamane lub zmodyfikowane wersje popularnych aplikacji. Trwająca od października 2022 roku kampania ma na celu generowanie przychodów poprzez bombardowanie użytkowników niechcianymi reklamami. Jednak stojące za nim cyberprzestępcy mają możliwość zmiany taktyki i rozpowszechniania innych typów złośliwego oprogramowania, takiego jak trojany bankowe lub oprogramowanie ransomware, w celu kradzieży poufnych informacji.

Według raportu technicznego firmy Bitdefender zajmującej się cyberbezpieczeństwem zidentyfikowano około 60 000 unikalnych aplikacji zawierających oprogramowanie reklamowe. Większość wykrytych przypadków wykryto w krajach takich jak Stany Zjednoczone, Korea Południowa, Brazylia, Niemcy, Wielka Brytania, Francja, Kazachstan, Rumunia i Włochy.

Dystrybucja i fałszywe aplikacje

Warto zauważyć, że żadna z tych złośliwych aplikacji nie jest dystrybuowana za pośrednictwem oficjalnego Sklepu Google Play. Zamiast tego użytkownicy wyszukujący w wyszukiwarkach popularne aplikacje, takie jak Netflix, przeglądarki plików PDF, oprogramowanie zabezpieczające lub złamane wersje YouTube, są przekierowywani na strony reklamowe zawierające złośliwe oprogramowanie.

Po zainstalowaniu aplikacje te podejmują działania mające na celu uniknięcie wykrycia, ponieważ nie mają widocznych ikon ani nazw. Co więcej, gdy użytkownicy uruchamiają aplikację po raz pierwszy, wyświetlana jest im wiadomość informująca, że aplikacja jest niedostępna w ich regionie i zachęcająca do jej odinstalowania, podczas gdy szkodliwa aktywność pozostaje aktywna w tle.

Tryb działania fałszywych aplikacji

Jednym z godnych uwagi aspektów tej kampanii jest modus operandi oprogramowania reklamowego. Początkowo adware pozostaje uśpione przez kilka dni, a następnie aktywuje się, gdy ofiara odblokuje swój telefon, wyświetlając pełnoekranowe reklamy za pomocą Android WebView.

W oddzielnym odkryciu, firma CloudSEK zajmująca się cyberbezpieczeństwem znalazła nieuczciwy pakiet SDK SpinOK, ujawniony wcześniej przez Doctor Web, osadzony w 193 aplikacjach w sklepie Google Play, z łączną liczbą 30 milionów pobrań. Moduł ten przedstawia się jako sposób na zaangażowanie użytkowników w minigry i zadania w celu wygrania nagród, ale w rzeczywistości zawiera złośliwe funkcje do kradzieży plików i manipulowania zawartością schowka.

Ponadto zespół badawczy SonicWall Capture Labs Threat wykrył kolejną odmianę złośliwego oprogramowania dla Androida, które udaje legalne aplikacje i wykorzystuje usługi ułatwień dostępu systemu operacyjnego do zbierania szerokiego zakresu informacji z zaatakowanych urządzeń. Ten rodzaj ataku może prowadzić do różnych oszukańczych działań, w tym oszustw finansowych i kradzieży tożsamości.