Milhares de aplicativos de adware para Android se escondem em pacotes crackeados falsos
Foi descoberta uma campanha de adware em grande escala voltada para dispositivos Android, envolvendo milhares de aplicativos disfarçados de versões crackeadas ou modificadas de aplicativos populares. A campanha, em andamento desde outubro de 2022, visa gerar receita bombardeando os usuários com anúncios indesejados. No entanto, os agentes de ameaças por trás dele têm a capacidade de mudar de tática e distribuir outros tipos de malware, como cavalos de Tróia bancários ou ransomware, para roubar informações confidenciais.
De acordo com um relatório técnico da empresa de segurança cibernética Bitdefender, aproximadamente 60.000 aplicativos únicos que carregam o adware foram identificados. A maioria das detecções foi encontrada em países como Estados Unidos, Coreia do Sul, Brasil, Alemanha, Reino Unido, França, Cazaquistão, Romênia e Itália.
Aplicativos de distribuição e falsificados
Notavelmente, nenhum desses aplicativos maliciosos é distribuído pela Google Play Store oficial. Em vez disso, os usuários que procuram aplicativos populares como Netflix, visualizadores de PDF, software de segurança ou versões crackeadas do YouTube nos mecanismos de pesquisa são redirecionados para páginas de anúncios que hospedam o malware.
Uma vez instalados, esses aplicativos tomam medidas para evitar a detecção, pois não possuem ícones ou nomes visíveis. Além disso, quando os usuários iniciam o aplicativo pela primeira vez, é exibida uma mensagem informando que o aplicativo não está disponível em sua região e solicitando a desinstalação, enquanto a atividade maliciosa permanece ativa em segundo plano.
Modo de operação dos aplicativos falsos
Um aspecto notável desta campanha é o modus operandi do adware. Inicialmente, o adware permanece inativo por alguns dias e, em seguida, é ativado quando a vítima desbloqueia o telefone, exibindo anúncios em tela cheia usando o Android WebView.
Em uma descoberta separada, a empresa de segurança cibernética CloudSEK encontrou o SpinOK SDK desonesto, divulgado anteriormente pela Doctor Web, incorporado em 193 aplicativos na Google Play Store, com um total de 30 milhões de downloads. Este módulo se apresenta como uma forma de envolver os usuários com minijogos e tarefas para ganhar recompensas, mas na verdade contém funções maliciosas para roubar arquivos e manipular o conteúdo da área de transferência.
Além disso, a equipe de pesquisa de ameaças do SonicWall Capture Labs descobriu outro tipo de malware para Android que se disfarça de aplicativos legítimos e explora os serviços de acessibilidade do sistema operacional para coletar uma ampla gama de informações de dispositivos comprometidos. Esse tipo de ataque pode levar a várias atividades fraudulentas, incluindo fraude financeira e roubo de identidade.
