Több mint 60 000 Android-alkalmazást fertőzött meg kártevő

A CSO Online szerint a Bitdefender jelentése megjegyzi, hogy az érintett kiberfenyegetésekért felelős szereplők könnyen válthatnak taktikát, hogy más típusú rosszindulatú programokra, például banki trójaiakra vagy zsarolóvírusokra irányítsák át a felhasználókat, hogy ellopják a bejelentkezési adatokat, pénzügyi információkat, vagy zsarolóvírusokra.

A Bitdefender eddig több mint 60 000, a kéretlen reklámprogram által fertőzött Android-alkalmazást fedezett fel, és gyanítja, hogy ennél sokkal több van. A kártevő legalább 2022 októbere óta van jelen, és az Egyesült Államokban, Dél-Koreában, Brazíliában, Németországban, az Egyesült Királyságban és Franciaországban élő felhasználókat céloz meg.

A fenyegetések elkövetői harmadik féltől származó alkalmazásokat használnak a rosszindulatú programok terjesztésére, mivel azok nem érhetők el egyetlen hivatalos áruházban sem. Hogy rávegyék a felhasználókat a harmadik féltől származó alkalmazások letöltésére és telepítésére, a rosszindulatú programok üzemeltetői elrejtik a fenyegetést a keresett termékeken, amelyeket az emberek nem találnak meg a hivatalos áruházakban. Bizonyos esetekben ezek az alkalmazások egyszerűen a Google Play Áruházban közzétett alkalmazásokat másolják. A rosszindulatú programok által utánozott alkalmazások közé tartoznak a feltört játékok, a feloldott funkciókkal rendelkező játékok, az ingyenes VPN-ek, a hamis oktatóanyagok, a hirdetésmentes YouTube/TikTok, a feltört segédprogramok, a PDF-megjelenítők és még a hamis biztonsági programok is.

A kártevővel fertőzött alkalmazások telepítéskor a normál Android-alkalmazásokhoz hasonlóan viselkednek, és a telepítés után a felhasználónak a „Megnyitás” gombra kell kattintania. A kártevő azonban nem konfigurálja magát automatikus futásra, mivel ehhez további jogosultságokra lenne szükség. A telepítés után a kártevő egy „alkalmazás nem érhető el” üzenetet jelenít meg, hogy elhitesse a felhasználóval, hogy a kártevő nem létezik, de valójában nincs indító ikonja, és a címkében található UTF-8 karakterek megnehezítik az észlelését és eltávolítását.

Az alkalmazás indítása után kommunikál a támadó szerverével, és lekéri a hirdetési URL-eket, amelyek a mobilböngészőben vagy teljes képernyős WebView hirdetésekként jelennek meg.

Ez csak egy a legutóbbi esetek közül, amikor Android-alkalmazások tartalmaznak rosszindulatú programokat. A múlt hónapban a Doctor Web kiberbiztonsági cég fedezte fel a SpinOK nevű Android-kémprogramot. A rosszindulatú program információkat gyűjt az eszközön tárolt fájlokról, és azokat rosszindulatú szereplőknek továbbíthatja. Emellett képes a vágólap tartalmát lecserélni és feltölteni egy távoli szerverre. A kémprogramokat is tartalmazó SpinOk-ot tartalmazó Android-alkalmazásokat több mint 421 millió alkalommal telepítették.