Több mint 60 000 Android-alkalmazás fertőzött meg kártevővel

A CSO Online szerint a Bitdefender jelentése megjegyzi, hogy az érintett kiberfenyegetésekért felelős szereplők könnyen válthatnak taktikát, hogy más típusú rosszindulatú programokra, például banki trójaiakra vagy zsarolóvírusokra irányítsák át a felhasználókat, hogy ellopják a bejelentkezési adatokat, pénzügyi információkat, vagy zsarolóvírusokra.

A Bitdefender eddig több mint 60 000, a kéretlen reklámprogram által fertőzött Android-alkalmazást fedezett fel, és gyanítja, hogy ennél sokkal több van. A kártevő legalább 2022 októbere óta van jelen, és az Egyesült Államokban, Dél-Koreában, Brazíliában, Németországban, az Egyesült Királyságban és Franciaországban élő felhasználókat céloz meg.

A fenyegetések elkövetői harmadik féltől származó alkalmazásokat használnak a rosszindulatú programok terjesztésére, mivel azok nem érhetők el hivatalos áruházakban. Hogy rávegyék a felhasználókat harmadik féltől származó alkalmazások letöltésére és telepítésére, a rosszindulatú programok üzemeltetői a fenyegetést rendkívül keresett termékekbe rejtik, amelyeket az emberek nem találnak meg a hivatalos áruházakban. Bizonyos esetekben ezek az alkalmazások egyszerűen a Google Play Áruházban közzétett alkalmazásokat másolják. A rosszindulatú programok által utánozott alkalmazások közé tartoznak a feltört játékok, a feloldott funkciókkal rendelkező játékok, az ingyenes VPN-ek, a hamis oktatóanyagok, a hirdetésmentes YouTube/TikTok, a feltört segédprogramok, a PDF-megjelenítők és még a hamis biztonsági programok is.

A kártevővel fertőzött alkalmazások a szokásos Android-alkalmazásokhoz hasonlóan települnek, és a telepítés után a felhasználót a „Megnyitás” gombra kattintásra kérik. A kártevő azonban nem konfigurálja magát automatikus futtatásra, mivel ehhez további jogosultságokra lenne szükség. A telepítés után a kártevő egy „alkalmazás nem érhető el” üzenetet jelenít meg, hogy elhitesse a felhasználóval, hogy a kártevő nem létezik, de valójában nincs ikonja az indítóban, és a címkében található UTF-8 karakterek megnehezítik az észlelését és eltávolítását.

Az alkalmazás indítása után kommunikál a támadó szerverével, és lekéri a hirdetések URL-jeit, amelyek a mobilböngészőben vagy teljes képernyős WebView hirdetésekként jelennek meg.

Ez csak egy a közelmúltbeli esetek közül, amikor Android-alkalmazások tartalmaztak rosszindulatú programot. A múlt hónapban a Doctor Web kiberbiztonsági cég fedezte fel a SpinOK nevű Android-kémprogramot. A rosszindulatú program információkat gyűjt az eszközön tárolt fájlokról, és azokat rosszindulatú szereplőknek továbbíthatja. Emellett képes a vágólap tartalmának cseréjére és feltöltésére egy távoli szerverre. A kémprogramokkal teli SpinOk-ot tartalmazó Android-alkalmazásokat több mint 421 millió alkalommal telepítették.