Több mint 60 000 Android alkalmazás fertőzött meg kártevővel.

A CSO Online szerint a Bitdefender jelentése megjegyzi, hogy a kapcsolódó fenyegetésekért felelős szereplők könnyen válthatnak taktikát, hogy a felhasználókat más típusú rosszindulatú programokra, például banki trójaiakra irányítsák át, hogy ellopják a bejelentkezési adatokat, pénzügyi információkat, vagy zsarolóvírusokra.

A Bitdefender eddig több mint 60 000, reklámprogramokkal fertőzött Android-alkalmazást észlelt, és még többre gyanakszik. Ez a kártevő legalább 2022 októbere óta van jelen, és az Egyesült Államokban, Dél-Koreában, Brazíliában, Németországban, az Egyesült Királyságban és Franciaországban élő felhasználókat céloz meg.

A fenyegetések elkövetői harmadik féltől származó alkalmazásokat használnak a rosszindulatú programok terjesztésére, mivel azok nem érhetők el hivatalos áruházakban. Hogy rávegyék a felhasználókat harmadik féltől származó alkalmazások letöltésére és telepítésére, a rosszindulatú programok üzemeltetői a fenyegetést olyan keresett termékekbe rejtik, amelyeket az emberek nem találnak meg a hivatalos áruházakban. Bizonyos esetekben ezek az alkalmazások egyszerűen a Google Play Áruházban közzétett alkalmazásokat másolják. A rosszindulatú programok által utánozott alkalmazások közé tartoznak a feltört játékok, a feloldott funkciókkal rendelkező játékok, az ingyenes VPN-ek, a hamis oktatóanyagok, a hirdetésmentes YouTube/TikTok, a feltört segédprogramok, a PDF-megjelenítők és még a hamis biztonsági programok is.

A kártevővel teli alkalmazások a normál Android-alkalmazásokat utánozzák, települnek, és a telepítés után a „Megnyitás” gombra kattintásra kérik a felhasználókat. A kártevő azonban nem konfigurálja magát automatikus futtatásra, mivel ehhez további jogosultságokra lehet szükség. A telepítés után a kártevő egy „alkalmazás nem érhető el” üzenetet jelenít meg, hogy elhitesse a felhasználókkal, hogy a kártevő nem létezik, de valójában nincs ikonja az indítóban, és UTF-8 karaktereket tartalmaz a címkéje, ami megnehezíti az észlelést és az eltávolítást.

Az alkalmazás indítása után kommunikál a támadó szerverével, és lekéri a hirdetési URL-eket, amelyek a mobilböngészőben vagy teljes képernyős WebView hirdetésekként jelennek meg.

Állítólag ez csak egy a közelmúltbeli, kártevőt tartalmazó Android-alkalmazásokkal kapcsolatos incidensek közül. A múlt hónapban a Doctor Web kiberbiztonsági cég fedezte fel a SpinOK nevű Android-kémprogramot. Ez a kártevő információkat gyűjt az eszközön tárolt fájlokról, és azokat rosszindulatú szereplőknek továbbíthatja. Emellett képes a vágólap tartalmának cseréjére és távoli szerverre való feltöltésére is. A SpinOK kémprogramot tartalmazó Android-alkalmazásokat több mint 421 millió alkalommal telepítették.