Более 60000 приложений для Android инфицировано вирусом, распространяющим рекламу

7 июня 2023, 10:00
Читати новину українською

Источник:

Bleeping Computer

Румынская компания Bitdefender, специализирующаяся на информационной безопасности, обнаружила масштабную кампанию с участием более 60000 приложений для Android, тайно устанавливающих рекламное ПО на устройствах ничего не подозревающих об угрозе пользователей. Эти вредоносные программы умело маскируются под легальные продукты и за последние шесть месяцев им удавалось избегать обнаружения.

Согласно заявлению Bitdefender, компания уже идентифицировала десятки тысяч различных образцов рекламного ПО, но они подозревают, что реальное количество может быть гораздо больше. Открытие стало возможным благодаря внедрению новой функции обнаружения аномалий в популярном антивирусном программном обеспечении Bitdefender Mobile Security.

Смотрите также Обнаружена колоссальная уязвимость любого Android смартфона

Какие пользователи пострадали от зараженных программ

Эксперты определили, что большинство этих вредоносных программ маскируются под антивирусные программы, игровые утилиты, VPN-клиенты и разные сервисные программы. Обманчивое программное обеспечение нацелено преимущественно на пользователей в Соединенных Штатах, но пострадали также жители Южной Кореи, Бразилии, Германии, Великобритании и Франции.


Статистика зараженных пользователей в разных странах мира / Фото Bitdefender

Вирус распространяли необычным способом

Одним из наиболее заметных аспектов этой кампании является метод распространения, который используют злоумышленники. Вместо того чтобы полагаться на официальный Google Play Маркет, эти фальшивые приложения распространяются через сторонние веб-сайты.

Это позволяет обойти строгие меры безопасности, введенные Google для защиты пользователей от вредоносного программного обеспечения. При установке на устройство пользователя приложение не запускается сразу, а требует дополнительных разрешений. Пользователю будет предложено запустить установленную программу вручную как минимум один раз.

Как действует вирус

После запуска программы появляется сообщение об ошибке, в котором ошибочно утверждается, что приложение недоступно в регионе пользователя, и предлагается удалить его. Однако вместо удаления программа активирует скрытую функцию.

Эта функция обеспечивает автозапуск после загрузки устройства или разблокировки экрана, но с задержкой в несколько часов. Эта задержка намеренно сделана для того, чтобы пользователи не заподозрили наличие недавно установленных и якобы удалённых приложений, показывающих нежелательную рекламу.

После активации приложение устанавливает соединение с сервером, контролируемым злоумышленником, и получает ссылку для показа навязчивых полноэкранных рекламных сообщений.

Смотрите также Проклятие дешевых смартфонов: миллионы устройств поставляются с установленным вредоносным ПО

Почему это опасно

Хотя на этом этапе эти фальшивые приложения показывают преимущественно рекламу, они могут быть легко заменены еще более опасными угрозами, например вредоносными веб-сайтами, которые создают дополнительные риски для безопасности и конфиденциальности пользователей.

Учитывая специфику работы программы, эксперты настоятельно рекомендуют пользователям Android избегать установки приложений из неофициальных источников. Использование проверенных магазинов приложений, таких как Google Play Store, значительно снижает риск заражения устройств вредоносным программным обеспечением.