Более 60 тысяч приложений для Android, замаскированных под настоящие «честные» приложения, устанавливали рекламное ПО на мобильные устройства, оставаясь при этом незамеченными в течение последних шести месяцев. Об этом рассказала в свежем отчёте румынская компания Bitdefender, специализирующаяся на кибербезопасности.
В Bitdefender заявили:
На сегодняшний день Bitdefender обнаружил 60 000 совершенно разных образцов (уникальных приложений), содержащих рекламное ПО, и мы подозреваем, что в «дикой природе» существует гораздо больше.
По данным экспертов, эта кампания началась в октябре 2022 года. Вредоносное ПО распространяется под видом приложений для обеспечения безопасности, взлома игр, читов, VPN, Netflix и различных утилит. Приложения размещаются не в Google Play, а на сторонних веб-сайтах, которые выдаются в поиске Google и позволяют вручную устанавливать APK.
Когда приложение установлено, оно не запускается автоматически, так как для этого требуются дополнительные привилегии. Вместо этого запускается стандартный процесс Android с предложением открыть приложение после его установки в расчёте на то, что пользователь запустит приложение хотя бы один раз.
При запуске приложение отображает сообщение об ошибке, в котором говорится, что «Приложение недоступно в вашем регионе. Нажмите «ОК», чтобы удалить». Однако на самом деле приложение не удаляется, а просто «спит» в течение двух часов, после чего запуск его активируется при разблокировке экрана или перезагрузке смартфона. При запуске приложение обращается к серверам злоумышленников и получает URL-адреса для рекламы, которая будет отображаться в мобильном браузере или в полноэкранном режиме.
В основном атака нацелена на пользователей в США, затем следуют Южная Корея, Бразилия, Германия, Великобритания и Франция.
