Firma zajmująca się cyberbezpieczeństwem znalazła ponad 60 000

Android

aplikacje, które po cichu instalowały oprogramowanie reklamowe na urządzeniach mobilnych, pozostając niewykryte przez ostatnie sześć miesięcy. Przebrane za legalne aplikacje, atakują użytkowników na całym świecie.

Według raportu rumuńskiej firmy Bitdefender zajmującej się cyberbezpieczeństwem, te złośliwe aplikacje zostały wykryte za pomocą funkcji wykrywania anomalii, która została dodana do

Bezpieczeństwo mobilne Bitdefender

oprogramowanie w zeszłym miesiącu.

„Spotykać się z kimś,

Bitdefender

odkrył 60 000 zupełnie różnych próbek (unikalnych aplikacji) zawierających oprogramowanie reklamowe i podejrzewamy, że w środowisku naturalnym jest znacznie więcej” – ostrzegła firma zajmująca się bezpieczeństwem cybernetycznym.

Według raportu kampania prawdopodobnie rozpoczęła się w październiku 2022 r. i była rozpowszechniana jako fałszywe oprogramowanie zabezpieczające, cracki do gier, kody,

VPN

oprogramowanie,

Netflixa

i aplikacje narzędziowe w witrynach stron trzecich. Kampania szkodliwego oprogramowania była skierowana głównie do użytkowników w Stanach Zjednoczonych, Korei Południowej, Brazylii, Niemczech, Wielkiej Brytanii i Francji.

Te złośliwe aplikacje nie były dostępne w Google Play i były rozpowszechniane za pośrednictwem stron internetowych osób trzecich. Te strony wyskakują

Wyszukiwarka Google

wyniki i zachęcają użytkowników do pobierania i instalowania pakietów APK i Androida.

Gdy użytkownicy odwiedzają te witryny, są przekierowywani do witryn wyświetlających reklamy lub proszeni o pobranie aplikacji, której szukają. Witryny te są zaprojektowane specjalnie do dystrybucji złośliwych aplikacji na Androida, a użytkownicy ss instalują te wzbogacone aplikacje, infekując urządzenia z Androidem adware.

Te aplikacje nie mają dodatkowych uprawnień, aby skonfigurować się do automatycznego uruchamiania po zainstalowaniu. Są one raczej zależne od normalnego procesu instalacji aplikacji na Androida. Ten proces prosi użytkowników o „Otworzenie” aplikacji po jej zainstalowaniu.

Co więcej, te aplikacje również nie używają ikony i mają znak UTF-8 w etykiecie aplikacji., To sprawia, że ​​te aplikacje są trudniejsze do wykrycia. Ma to jednak zarówno zalety, jak i wady, ponieważ oznacza również, że jeśli użytkownik nie uruchomi aplikacji po jej zainstalowaniu, prawdopodobnie nie zostanie ona w ogóle uruchomiona.

Po uruchomieniu aplikacje te wyświetlają komunikat o błędzie informujący, że „Aplikacja jest niedostępna w Twoim regionie. Dotknij OK, aby odinstalować”. W rzeczywistości aplikacja nie jest odinstalowywana, ale po prostu śpi przez kilka godzin przed zarejestrowaniem dwóch „zamiarów”. Powoduje to uruchomienie aplikacji po uruchomieniu urządzenia lub po odblokowaniu urządzenia.

Bitdefender twierdzi, że aby uniknąć wykrycia przez użytkownika, ten drugi zamiar prawdopodobnie zostanie wyłączony na pierwsze dwa dni.

Gdy użytkownicy uruchamiają aplikację, sygnał dociera do serwerów atakujących i pobiera adresy URL reklam, które mają zostać wyświetlone. Reklamy te są wyświetlane w przeglądarce mobilnej lub jako pełnoekranowa reklama WebView.

Obecnie te złośliwe aplikacje są wykorzystywane wyłącznie do wyświetlania reklam, ale badacze ostrzegają, że osoby atakujące mogą zamienić adresy URL oprogramowania reklamowego na bardziej złośliwe strony internetowe.

„Po analizie kampania ma na celu agresywne przesyłanie oprogramowania reklamowego na urządzenia z Androidem w celu zwiększenia przychodów. Jednak zaangażowani aktorzy mogą z łatwością zmienić taktykę, aby przekierować użytkowników do innych rodzajów złośliwego oprogramowania, takich jak trojany bankowe w celu kradzieży danych uwierzytelniających i informacji finansowych lub oprogramowania ransomware ”, ostrzegł Bitdefender.

Chociaż pojawiły się doniesienia o obecności złośliwych aplikacji w sklepie Google Play, użytkownikom smartfonów z Androidem zaleca się, aby nie instalowali aplikacji ze źródeł zewnętrznych, ponieważ są one wspólną przestrzenią do rozprzestrzeniania złośliwego oprogramowania.