Ponad 300 złośliwych aplikacji Android z 60 milionami pobrań usuniętych z Google Play
Operacja, nazwana “Vapor”, została po raz pierwszy odkryta przez IAS Threat Lab, który stwierdził, że działania te trwają od początku 2024 roku. IAS zidentyfikowało 180 aplikacji w ramach kampanii Vapor, które generowały 200 milionów fałszywych zapytań o stawki reklamowe dziennie, aby angażować się w oszustwa reklamowe na dużą skalę. Nowo opublikowany raport Bitdefender zwiększył liczbę złośliwych aplikacji do 331, informując o wielu atakach w Brazylii, Stanach Zjednoczonych, Meksyku, Turcji i Korei Południowej.
Aplikacje wyświetlają reklamy wyjęte z kontekstu, a nawet próbują nakłonić ofiary do ujawnienia danych uwierzytelniających i informacji o kartach kredytowych w atakach phishingowych — ostrzega Bitdefender.
Chociaż wszystkie te aplikacje zostały już usunięte z Google Play, istnieje duże ryzyko, że Vapor powróci, ponieważ sprawcy już udowodnili zdolność do omijania procesu weryfikacji stosowanego przez Google. Jeśli zaś chodzi o te aplikacje, które już ze sklepu usunięto, to były to narzędzia oferujące specjalistyczne funkcje, takie jak śledzenie zdrowia i kondycji, narzędzia do robienia notatek i dzienniki, optymalizatory baterii oraz skanery kodów QR.
Czytaj też: Gemini staje się łatwiej dostępne. Już nie potrzebujesz logowania
Aplikacje w sklepie Play przechodzą kontrole bezpieczeństwa Google, ponieważ zawierają promowane funkcje, więc wiadomo, że nie zawierają złośliwego oprogramowania w momencie przesyłania. Zamiast tego złośliwe funkcje są pobierane po instalacji poprzez aktualizacje dostarczane z serwera poleceń i kontroli (C2).
Oto niektóre z zainfekowanych aplikacji:
- AquaTracker – 1 milion pobrań
- ClickSave Downloader – 1 milion pobrań
- Scan Hawk – 1 milion pobrań
- Water Time Tracker – 1 milion pobrań
- Be More – 1 milion pobrań
- BeatWatch – 500 000 pobrań
- TranslateScan – 100 000 pobrań
- Handset Locator – 50 000 pobrań
Pełną listę wszystkich 331 złośliwych aplikacji przesłanych do Google Play można znaleźć tutaj.
Cyberprzestępcy przesyłali je do Google Play z różnych kont deweloperskich, z których każde publikowało tylko kilka aplikacji, aby nie ryzykować dużych zakłóceń w przypadku usunięcia. Z podobnych powodów każdy wydawca używa innego SDK reklam. Większość aplikacji w ramach tego ataku trafiła do Google Play między październikiem 2024 a styczniem 2025, chociaż przesyłanie trwało do marca.
Czytaj też: Aktualizacja One UI 7 – Samsung zdradza datę i listę modeli
Złośliwe aplikacje Vapor wyłączają swoje Launcher Activity w pliku AndroidManifest.xml po instalacji, czyniąc je niewidocznymi. W niektórych przypadkach zmieniają nazwę w Ustawieniach, aby wyglądać jak legalne aplikacje (np. Google Voice). Aplikacje uruchamiają się bez interakcji użytkownika i używają kodu natywnego, aby włączyć ukryty komponent wtórny, jednocześnie utrzymując wyłączony launcher, aby ukryć ikonę. Bitdefender komentuje, że ta metoda omija zabezpieczenia Androida 13 i nowszych wersji systemu, które uniemożliwiają aplikacjom dynamiczne wyłączanie własnych działań launchera po ich aktywacji. Złośliwe oprogramowanie omija również ograniczenia uprawnień “SYSTEM_ALERT_WINDOW” we wspomnianych systemach i tworzy drugi ekran, który działa jako nakładka pełnoekranowa.
Czytaj też: Apple wprowadzi do AirPodsów Pro funkcję, która zniesie bariery językowe
Reklamy są wyświetlane na tym ekranie, który jest nakładany na wszystkie inne aplikacje, pozostawiając użytkownikowi brak możliwości wyjścia, ponieważ przycisk “wstecz” jest wyłączony. Aplikacja usuwa się również z “Ostatnich zadań”, więc użytkownik nie może określić, która aplikacja uruchomiła reklamę.
Wszystkie zidentyfikowane aplikacje z tego raportu zostały usunięte z Google Play. Użytkownicy Androida są również automatycznie chronieni przez Google Play Protect, który jest domyślnie włączony na urządzeniach z Androidem z Usługami Google Play — powiedział rzecznik Google.
Jeśli odkryjesz, że zainstalowałeś którąkolwiek z tych aplikacji, natychmiast je usuń i uruchom pełne skanowanie systemu za pomocą Google Play Protect (lub innych mobilnych produktów antywirusowych).
