Bitdefender обнаружил сеть вредоносных программ, которая работала незамеченной более шести месяцев на нескольких мобильных устройствах по всему миру. Сеть предназначена для распространения рекламного ПО на Android-устройства с целью монетизации. И пусть излишняя реклама не может сильно навредить владельцам зараженных устройств, но потенциальный риск высок, злоумышленники, стоящие за такими сетями, могут перенаправить пользователей на другие типы вредоносных программ, таких как программы-вымогатели или банковские трояны, которые крадут учетные данные и финансовую информацию», — написал Bitdefender в своем блоге.

По данным Bitdefender, на сегодняшний день рекламным ПО заражено 60 000 приложений для Android. С учетом непроверенных приложений цифра может быть еще выше. Вредоносное ПО активно как минимум с октября 2022 года и нацелено на пользователей в США, Южной Корее, Бразилии, Германии, Великобритании и Франции. 

«Количество найденных уникальных образцов велико, что позволяет предположить, что задача по распространению вредоносных программ могла быть полностью автоматизирована», — сказал Bitdefender.  

Злоумышленники часто используют сторонние приложения за пределами официальных магазинов для распространения вредоносных программ. «Нужно побудить пользователей не загружать и не устанавливать сторонние приложения», — говорит Bitdefender. В некоторых случаях они имитируют настоящие приложения, опубликованные в Play Store. Типы приложений, которые маскирует вредоносное ПО, включают взлом игр, игры с разблокировкой, бесплатные VPN, поддельные учебные пособия, YouTube/TikTok без рекламы, взломанные служебные программы, программы просмотра PDF и даже поддельные программы безопасности. 

Зараженное вредоносным ПО приложение после установки ведет себя как обычное приложение для Android, предлагая пользователю нажать «Открыть» после установки. Однако эти вредоносные программы не настроены на автоматический запуск, поскольку для них могут потребоваться дополнительные привилегии. Google удалил возможность скрывать значки приложений на Android,  однако это применимо только в том случае, если программа запуска зарегистрирована. «Чтобы обойти это, приложение не регистрирует средство запуска и сначала запускается пользователем», — сказал Bitdefender. После установки вредоносное ПО отображает сообщение «приложение недоступно», заставляя пользователя думать, что вредоносное ПО не установлено. «Его сложнее найти и избавиться, потому что в панели запуска нет значка, а в метке нет символов UTF-8. Он всегда находится в конце списка, поэтому пользователи с меньшей вероятностью его заметят», — пояснил Bitdefender. Когда приложение выполняется, оно связывается с сервером злоумышленника, чтобы получить URL-адрес объявления для отображения в мобильном браузере или в виде полноэкранного веб-объявления. 

Устройства Android все чаще становятся привлекательными целями для злоумышленников. В прошлом месяце компания Dr.Web, занимающаяся кибербезопасностью, обнаружила SpinOk, программный модуль Android со шпионскими возможностями. Это вредоносное ПО может собирать информацию о файлах, хранящихся на устройстве, и отправлять ее злоумышленникам. Оно также можете заменить содержимое буфера обмена и загрузить его на удаленный сервер. 

По оценкам, установлено более 4,21 млн приложений для Android, содержащих модули SpinOk со шпионскими функциями. Ранее на этой неделе CloudSec обнаружила 101 приложение, зараженное вредоносной программой SpinOk для Android, распространяемой в виде рекламного SDK. Из них 43 приложения все еще были активны в Play Store, некоторые из них были загружены более 5 миллионов раз. По оценкам, эти приложения затронули в общей сложности 30 миллионов пользователей.