331 вирусни приложения: как зловредният код преминава през филтрите на Google Play
Мащабна офанзива против Android устройствата е останала незабелязана до последния миг.
Изследователи откриха огромна акция от зловредни приложения за Android, изтеглени над 60 милиона пъти от Гугъл Play. Тези приложения са били употребявани за проявление на натрапчиви реклами и за кражба на идентификационни данни, както и информация за банкови карти.
Анализаторите от IAS Threat Lab нарекоха тази активност „ Vapor “ и оповестиха, че офанзивата е почнала при започване на 2024 година По време на следствието си те са разпознали 180 приложения, свързани с лъжливите схеми, които са генерирали до 200 милиона рекламни поръчки на ден. По-подробно следствие на Bitdefender обаче усили броя на злонамерените приложения до 331, като разкри максимален брой заразявания в Бразилия, Съединени американски щати, Мексико, Турция и Южна Корея.
Разпространяваните в границите на акцията приложения оферират разнообразни помощни стратегии, като да вземем за пример принадлежности за мониторинг на здравето и физическата интензивност, органайзер, оптимизатори на батерията и QR скенери. Те са минали сполучливо процеса на инспекция в Гугъл Play, защото в началото не са съдържали злотворен код. След като се конфигурират обаче, приложенията изтеглят зловредни съставни елементи от надзорен сървър.
Според Bitdefender тези приложения са скрили активността си, като са деактивирали Launcher Activity в AndroidManifest.xml, правейки се невидими за потребителя. В някои случаи те са се маскирали като систематични стратегии, да вземем за пример Гугъл Voice. След като бъдат стартирани, те задействат скритите модули и не престават да работят във фонов режим.
Освен това злонамерените приложения заобикалят рестриктивните мерки на Android 13+, като основават наслагвания на цялостен екран, които блокират опцията за излизане от рекламите. Те също по този начин се скриват от листата с неотдавна стартираните стратегии, като оставят потребителя без опция да дефинира коя стратегия е провокирала изскачащия прозорец.
Някои от приложенията отиват по-далеч от рекламните измами, като подменят екраните за вход във Фейсбук и YouTube, принуждават жертвите да вкарат своите идентификационни данни и ги подканват да вкарат информация за техните банкови карти под разнообразни предлози.
Въпреки че всички открити зловредни стратегии към този момент са отстранени от Гугъл Play, специалистите предизвестяват, че нападателите могат да повторят офанзивата, като основат нови версии на тези приложения. Изследователите акцентират, че разработчиците са употребявали разнообразни сметки за прехвърлянето на приложенията, което свежда до най-малко риска от всеобщо заличаване.
Най-популярните измежду инфектираните приложения са:
AquaTracker – 1 милион изтегляния; ClickSave Downloader – 1 милион изтегляния; Scan Hawk – 1 милион изтегляния; Water Time Tracker – 1 милион изтегляния; Be More – 1 милион изтегляния; BeatWatch – 500 000 изтегляния; TranslateScan – 100 000 изтегляния; Handset Locator – 50 000 изтегляния.Публикуването на тези приложения е станало сред октомври 2024 година и януари 2025 година, като последните изтегляния в платформата не престават до март.
Експертите предлагат на потребителите на Android да заобикалят инсталирането на ненужни приложения от незнайни разработчици, да наблюдават деликатно за желаните позволения и от време на време да ревизират листата с конфигурираните приложения посредством „ Настройки → Приложения → Всички приложения “.
Ако на устройството бъде намерено някое от приложенията в листата, то би трябвало неотложно да бъде деинсталирано и да се извърши цялостно сканиране на системата благодарение на Гугъл Play Protect и антивирусен програмен продукт.
