Понад 60000 застосунків для Android інфіковано вірусом, який поширює рекламу

7 червня 2023, 10:00
Читать новость на русском

Джерело:

Bleeping Computer

Румунська компанія Bitdefender, що спеціалізується на інформаційній безпеці, виявила масштабну кампанію за участю понад 60000 додатків для Android, які таємно встановлюють рекламне ПЗ на пристрої користувачів, які нічого не підозрювали про загрозу. Ці шкідливі програми вміло маскуються під легальні продукти і протягом останніх шести місяців їм вдавалося уникати виявлення.

Згідно із заявою Bitdefender, компанія вже ідентифікувала десятки тисяч різних зразків рекламного ПЗ, але вони підозрюють, що реальна кількість може бути набагато більшою. Відкриття стало можливим завдяки впровадженню нової функції виявлення аномалій у популярному антивірусному програмному забезпеченні Bitdefender Mobile Security.

Дивіться також Виявлено колосальну вразливість будь-якого Android смартфона

Які користувачі постраждали від заражених програм

Експерти визначили, що більшість цих шкідливих програм маскуються під антивірусні програми, ігрові утиліти, VPN-клієнти та різні сервісні програми. Оманливе програмне забезпечення переважно націлене на користувачів у Сполучених Штатах, але постраждали також жителі Південної Кореї, Бразилії, Німеччини, Великої Британії та Франції.


Статистика заражених користувачів у різних країнах світу / Фото Bitdefender

Вірус поширювали незвичним способом

Одним з найпомітніших аспектів цієї кампанії є метод розповсюдження, який використовують зловмисники. Замість того, щоб покладатися на офіційний Google Play Маркет, ці фальшиві застосунки поширюються через сторонні веб-сайти.

Це дозволяє обійти суворі заходи безпеки, запроваджені Google для захисту користувачів від шкідливого програмного забезпечення. Після встановлення на пристрій користувача застосунок не запускається одразу, а вимагає додаткових дозволів. Користувачеві буде запропоновано запустити встановлену програму вручну принаймні один раз.

Як діє вірус

Після запуску програми з'являється повідомлення про помилку, в якому помилково стверджується, що програма недоступна в регіоні користувача, і пропонується видалити її. Однак замість видалення програма активує приховану функцію.

Ця функція забезпечує автозапуск після завантаження пристрою або розблокування екрана, але із затримкою в кілька годин. Ця затримка навмисно зроблена для того, щоб користувачі не запідозрили наявність нещодавно встановлених і нібито видалених застосунків, які показують небажану рекламу.

Після активації програма встановлює з'єднання з сервером, контрольованим зловмисником, і отримує посилання для показу нав'язливих повноекранних рекламних повідомлень.

Дивіться також Прокляття дешевих смартфонів: мільйони пристроїв постачаються зі встановленим шкідливим ПЗ

Чому це небезпечно

Хоча на цьому етапі ці фальшиві застосунки показують переважно рекламу, вони можуть бути легко замінені ще більш небезпечними загрозами, наприклад, шкідливими веб-сайтами, які створюють додаткові ризики для безпеки та конфіденційності користувачів.

З огляду на специфіку роботи програми експерти наполегливо рекомендують користувачам Android уникати встановлення застосунків з неофіційних джерел. Використання перевірених магазинів програм, таких як Google Play Store, значно знижує ризик зараження пристроїв шкідливим програмним забезпеченням.