数以千计的 Android 广告软件应用程序隐藏在虚假的破解包中
已发现针对 Android 设备的大规模广告软件活动,涉及数千个伪装成流行应用程序的破解或修改版本的应用程序。该活动自 2022 年 10 月以来一直在进行,旨在通过向用户投放不需要的广告来创收。然而,其背后的威胁行为者有能力改变策略并分发其他类型的恶意软件,例如银行木马或勒索软件,以窃取敏感信息。
根据网络安全公司 Bitdefender 的技术报告,已识别出大约 60,000 个带有广告软件的独特应用程序。大多数检测是在美国、韩国、巴西、德国、英国、法国、哈萨克斯坦、罗马尼亚和意大利等国家/地区发现的。
分发和欺骗应用程序
值得注意的是,这些恶意应用程序都不是通过官方 Google Play 商店分发的。相反,在搜索引擎上搜索 Netflix、PDF 查看器、安全软件或 YouTube 破解版等流行应用程序的用户会被重定向到托管恶意软件的广告页面。
安装后,这些应用程序会采取措施避免检测,因为它们没有可见的图标或名称。此外,当用户首次启动该应用程序时,他们会看到一条消息,声称该应用程序在他们所在的地区不可用并提示他们将其卸载,而恶意活动在后台仍然活跃。
假冒应用程序的运作方式
此活动的一个显着方面是广告软件的作案手法。最初,广告软件会休眠几天,然后在受害者解锁手机时激活,使用 Android WebView 显示全屏广告。
在另一项发现中,网络安全公司 CloudSEK 发现了流氓 SpinOK SDK,此前由 Doctor Web 披露,该 SDK 嵌入到 Google Play 商店的 193 个应用程序中,总下载量达 3000 万次。该模块将自己呈现为一种让用户参与迷你游戏和任务以赢得奖励的方式,但实际上包含窃取文件和操纵剪贴板内容的恶意功能。
此外,SonicWall Capture Labs 威胁研究团队还发现了另一种 Android 恶意软件,它伪装成合法应用程序并利用操作系统的辅助功能服务从受感染的设备中收集各种信息。这种类型的攻击可能导致各种欺诈活动,包括金融欺诈和身份盗用。