На сегодняшний день Bitdefender обнаружил 60 000 совершенно разных образцов (уникальных приложений), содержащих рекламное ПО, и мы подозреваем, что в «дикой природе» существует гораздо больше.
По данным экспертов, эта кампания началась в октябре 2022 года. Вредоносное ПО распространяется под видом приложений для обеспечения безопасности, взлома игр, читов, VPN, а также Netflix и различных утилит. Приложения размещаются не в Google Play, а на сторонних веб-сайтах, которые выдаются в поиске Google и позволяют вручную устанавливать APK.
Когда приложение установлено, оно не запускается автоматический, так как для этого требуются дополнительные привилегии. Вместо этого запускается стандартный процесс Android с предложением «открыть» приложение после его установки в расчёте на то, что пользователь запустит приложение хотя бы один раз. При запуске приложение отобразит сообщение об ошибке, в котором говорится, что «Приложение недоступно в вашем регионе. Нажмите «ОК», чтобы удалить». Однако на самом деле приложение не удаляется, а просто «спит» в течение двух часов, а затем активируется его запуск при разблокировке экрана или перезагрузке смартфона. При запуске приложение обращается к серверам злоумышленников и получает URL-адреса для рекламы, которая будет отображаться в мобильном браузере или в полноэкранном режиме.
В основном атака нацелена на пользователей в США, затем следуют Южная Корея, Бразилия, Германия, Великобритания и Франция.
Источник: iXBT
