Тысячи рекламных приложений для Android спрятаны в поддельных взломанных пакетах

Обнаружена крупномасштабная рекламная кампания, нацеленная на устройства Android, в которой участвовали тысячи приложений, замаскированных под взломанные или модифицированные версии популярных приложений. Кампания, проводимая с октября 2022 года, направлена на получение дохода за счет бомбардировки пользователей нежелательной рекламой. Однако стоящие за ним субъекты угрозы могут изменить тактику и распространять другие типы вредоносных программ, таких как банковские трояны или программы-вымогатели, для кражи конфиденциальной информации.

Согласно техническому отчету компании Bitdefender, занимающейся кибербезопасностью, было выявлено около 60 000 уникальных приложений, содержащих рекламное ПО. Большинство обнаружений было обнаружено в таких странах, как США, Южная Корея, Бразилия, Германия, Великобритания, Франция, Казахстан, Румыния и Италия.

Распространение и поддельные приложения

Примечательно, что ни одно из этих вредоносных приложений не распространяется через официальный магазин Google Play. Вместо этого пользователи, которые ищут в поисковых системах популярные приложения, такие как Netflix, средства просмотра PDF, программное обеспечение для обеспечения безопасности или взломанные версии YouTube, перенаправляются на рекламные страницы, на которых размещено вредоносное ПО.

После установки эти приложения принимают меры, чтобы избежать обнаружения, поскольку у них нет видимых значков или имен. Кроме того, когда пользователи запускают приложение в первый раз, им показывается сообщение о том, что приложение недоступно в их регионе, и предлагается удалить его, в то время как вредоносная активность остается активной в фоновом режиме.

Режим работы поддельных приложений

Одним из примечательных аспектов этой кампании является метод работы рекламного ПО. Первоначально рекламное ПО остается бездействующим в течение нескольких дней, а затем активируется, когда жертва разблокирует свой телефон, отображая полноэкранную рекламу с помощью Android WebView.

В ходе отдельного расследования компания CloudSEK, занимающаяся кибербезопасностью, обнаружила мошеннический SDK SpinOK, ранее раскрытый компанией «Доктор Веб», встроенный в 193 приложения в Google Play Store с общим числом загрузок 30 миллионов. Этот модуль представляет собой способ вовлечь пользователей в мини-игры и задания для получения вознаграждения, но на самом деле содержит вредоносные функции для кражи файлов и манипулирования содержимым буфера обмена.

Кроме того, исследовательская группа SonicWall Capture Labs Threat обнаружила еще одну разновидность вредоносного ПО для Android, которое маскируется под законные приложения и использует службы специальных возможностей операционной системы для сбора широкого спектра информации со взломанных устройств. Этот тип атаки может привести к различным мошенническим действиям, включая финансовое мошенничество и кражу личных данных.