Ponad 60 000 aplikacji na Androida podszywających się pod legalne aplikacje po cichu instalowało oprogramowanie reklamowe na urządzeniach mobilnych, pozostając niewykrytymi przez ostatnie sześć miesięcy.

Odkrycie pochodzi od rumuńskiej firmy Bitdefender zajmującej się cyberbezpieczeństwem, która wykryła złośliwe aplikacje za pomocą funkcji wykrywania anomalii dodanej do jej oprogramowania Bitdefender Mobile Security w zeszłym miesiącu.

„Do tej pory Bitdefender wykrył 60 000 zupełnie różnych próbek (unikalnych aplikacji) zawierających oprogramowanie reklamowe i podejrzewamy, że w środowisku naturalnym jest znacznie więcej” – ostrzegła rumuńska firma zajmująca się cyberbezpieczeństwem Bitdefender.

Uważa się, że kampania rozpoczęła się w październiku 2022 r. i jest rozpowszechniana jako fałszywe oprogramowanie zabezpieczające, cracki do gier, kody, oprogramowanie VPN, Netflix i aplikacje narzędziowe na stronach osób trzecich.

Kampania szkodliwego oprogramowania jest skierowana głównie do użytkowników w Stanach Zjednoczonych, a następnie w Korei Południowej, Brazylii, Niemczech, Wielkiej Brytanii i Francji.

Potajemnie zainstalowany, aby uniknąć wykrycia

Złośliwe aplikacje nie są hostowane w Google Play, ale w witrynach innych firm w wyszukiwarce Google, które przesyłają pliki APK, pakiety Androida, które umożliwiają ręczną instalację aplikacji mobilnych.

Podczas odwiedzania tych witryn zostaniesz przekierowany do witryn wyświetlających reklamy lub poproszony o pobranie wyszukiwanej aplikacji. Witryny pobierania są celowo tworzone w celu dystrybucji złośliwych aplikacji na Androida jako plików APK, które po zainstalowaniu infekują urządzenia z Androidem adware.

Po zainstalowaniu aplikacja nie konfiguruje się do automatycznego uruchamiania, ponieważ wymaga to dodatkowych uprawnień. Zamiast tego opiera się na normalnym procesie instalacji aplikacji na Androida, który zachęca użytkowników do „Otworzenia” aplikacji po jej zainstalowaniu.

Ponadto aplikacje nie używają ikony i mają znak UTF-8 w etykiecie aplikacji, co utrudnia ich wykrycie. Jest to miecz obosieczny, ponieważ oznacza również, że jeśli użytkownik nie uruchomi aplikacji po jej zainstalowaniu, prawdopodobnie nie zostanie ona później uruchomiona.

Po uruchomieniu aplikacja wyświetli komunikat o błędzie informujący, że „Aplikacja jest niedostępna w Twoim regionie. Dotknij OK, aby odinstalować”.

Jednak w rzeczywistości aplikacja nie jest odinstalowywana, ale po prostu śpi przez dwie godziny przed zarejestrowaniem dwóch „zamiarów”, które powodują uruchomienie aplikacji po uruchomieniu urządzenia lub po odblokowaniu urządzenia. Bitdefender twierdzi, że ta druga intencja jest wyłączona przez pierwsze dwa dni, prawdopodobnie w celu uniknięcia wykrycia przez użytkownika.

Po uruchomieniu aplikacja połączy się z serwerami atakujących i pobierze adresy URL reklam, które zostaną wyświetlone w przeglądarce mobilnej lub jako pełnoekranowa reklama WebView.

Chociaż złośliwe aplikacje są obecnie wykorzystywane wyłącznie do wyświetlania reklam, badacze ostrzegają, że cyberprzestępcy mogą łatwo zamienić adresy URL oprogramowania reklamowego na bardziej złośliwe strony internetowe.

„Z analizy wynika, że ​​kampania ma na celu agresywne przesyłanie oprogramowania reklamowego na urządzenia z systemem Android w celu zwiększenia przychodów” — ostrzega Bitdefender.

„Jednak zaangażowani aktorzy mogą łatwo zmienić taktykę, aby przekierować użytkowników do innych rodzajów złośliwego oprogramowania, takich jak trojany bankowe w celu kradzieży danych uwierzytelniających i informacji finansowych lub oprogramowania ransomware”.

Urządzenia z Androidem są często atakowane przez twórców złośliwego oprogramowania, ponieważ mogą instalować aplikacje poza Sklepem Google Play, gdzie nie są lepiej sprawdzane pod kątem złośliwego oprogramowania.

Jednak cyberprzestępcy nadal unikają wykrycia, nawet w Google Play, umożliwiając szeroką dystrybucję złośliwych aplikacji.

Zaledwie w ubiegłym tygodniu badacze z firm Dr. Web i CloudSEK wykryli złośliwe oprogramowanie spyware SDK zainstalowane ponad 400 milionów razy na urządzeniach z Androidem z aplikacji w Google Play.

Podczas gdy Google Play wciąż ma swój udział w złośliwych aplikacjach, instalowanie aplikacji na Androida z oficjalnego sklepu z Androidem jest znacznie bezpieczniejsze. Zdecydowanie zaleca się również, aby nie instalować żadnych aplikacji na Androida z witryn stron trzecich, ponieważ są one powszechnym wektorem złośliwego oprogramowania.