數以千計的 Android 廣告軟件應用程序隱藏在虛假的破解包中

已發現針對 Android 設備的大規模廣告軟件活動，涉及數千個偽裝成流行應用程序的破解或修改版本的應用程序。該活動自 2022 年 10 月開始持續進行，旨在通過向用戶投放不需要的廣告來創收。然而，其背後的威脅行為者有能力改變策略並分發其他類型的惡意軟件，例如銀行木馬或勒索軟件，以竊取敏感信息。

根據網絡安全公司 Bitdefender 的技術報告，已識別出大約 60,000 個帶有廣告軟件的獨特應用程序。大多數檢測是在美國、韓國、巴西、德國、英國、法國、哈薩克斯坦、羅馬尼亞和意大利等國家/地區發現的。

分發和欺騙應用程序

值得注意的是，這些惡意應用程序都不是通過官方 Google Play 商店分發的。相反，在搜索引擎上搜索 Netflix、PDF 查看器、安全軟件或 YouTube 破解版等流行應用程序的用戶會被重定向到託管惡意軟件的廣告頁面。

安裝後，這些應用程序會採取措施避免檢測，因為它們沒有可見的圖標或名稱。此外，當用戶首次啟動該應用程序時，他們會看到一條消息，聲稱該應用程序在他們所在的地區不可用並提示他們將其卸載，而惡意活動在後台仍然活躍。

假冒應用程序的運作方式

此活動的一個顯著方面是廣告軟件的作案手法。最初，廣告軟件會休眠幾天，然後在受害者解鎖手機時激活，使用 Android WebView 顯示全屏廣告。

在另一項發現中，網絡安全公司 CloudSEK 發現了 Doctor Web 之前披露的流氓 SpinOK SDK，該 SDK 嵌入到 Google Play 商店的 193 個應用程序中，總下載量達 3000 萬次。該模塊將自己呈現為一種讓用戶參與迷你游戲和任務以贏得獎勵的方式，但實際上包含竊取文件和操縱剪貼板內容的惡意功能。

此外，SonicWall Capture Labs 威脅研究團隊發現了另一種 Android 惡意軟件，它偽裝成合法應用程序並利用操作系統的可訪問性服務從受感染的設備收集各種信息。這種類型的攻擊可能導致各種欺詐活動，包括金融欺詐和身份盜竊。