Πάνω από 60.000 εφαρμογές Android, που φαίνονται να είναι νόμιμες, εγκαθιστούν adware σε κινητές συσκευές εδώ και έξι μήνες, χωρίς να αντιληφθεί κανείς την παρουσία του.
Η ανακάλυψη έγινε από τη ρουμανική εταιρεία κυβερνοασφάλειας Bitdefender. Η εταιρεία χρησιμοποίησε μια νέα “δυνατότητα εντοπισμού ανωμαλιών” που προστέθηκε στο λογισμικό Bitdefender Mobile Security τον περασμένο μήνα.
“Μέχρι σήμερα, η Bitdefender έχει ανακαλύψει 60.000 εντελώς διαφορετικά δείγματα (μοναδικές εφαρμογές) που φέρουν το adware και υποπτευόμαστε ότι υπάρχουν πολύ περισσότερα εκεί έξω“, προειδοποίησαν οι ερευνητές της Bitdefender.
Η κακόβουλη καμπάνια πιστεύεται ότι ξεκίνησε τον Οκτώβριο του 2022.
Δείτε επίσης: Το SpinOk Android malware βρέθηκε και σε άλλα δημοφιλή apps
Οι κακόβουλες Android εφαρμογές που φέρουν το adware μιμούνται συνήθως τους παρακάτω τύπους εφαρμογών:
- Game cracks
- Παιχνίδια με ξεκλείδωτα χαρακτηριστικά
- Δωρεάν VPN
- Fake βίντεο
- Fake tutorials
- Netflix
- YouTube/TikTok χωρίς διαφημίσεις
- Cracked utility programs: καιρός, προγράμματα προβολής pdf κ.λπ
- Ψεύτικα προγράμματα ασφαλείας
Βασικοί στόχοι είναι οι χρήστες στις Ηνωμένες Πολιτείες και ακολουθούν χρήστες από τη Νότια Κορέα, τη Βραζιλία, τη Γερμανία, το Ηνωμένο Βασίλειο και τη Γαλλία.
Το adware αποφεύγει τον εντοπισμό
Σύμφωνα με τους ερευνητές, οι κακόβουλες εφαρμογές δεν φιλοξενούνται στο Google Play αλλά σε ιστότοπους τρίτων. Οι χρήστες μπορούν να τις βρουν κάνοντας αναζήτηση στη Google για τους παραπάνω τύπους εφαρμογών. Οι ιστότοποι ωθούν τα APK, πακέτα Android που σας επιτρέπουν να εγκαταστήσετε μη αυτόματα εφαρμογές για κινητά.
Όταν οι χρήστες επισκέπτονται τους κακόβουλους ιστότοπους, είτε ανακατευθύνονται σε sites που εμφανίζουν διαφημίσεις είτε τους ζητείται να κάνουν λήψη της εφαρμογής την οποία αναζήτησαν. Οι ιστότοποι λήψης έχουν δημιουργηθεί σκόπιμα για τη διανομή των κακόβουλων εφαρμογών Android ως APK που, όταν εγκατασταθούν, μολύνουν τις συσκευές Android με το adware.
Από τη στιγμή που θα γίνει εγκατάσταση της εφαρμογής στη συσκευή, δεν γίνεται αυτόματη εκτέλεση, καθώς αυτό απαιτεί πρόσθετα προνόμια. Αντίθετα, βασίζεται στην κανονική ροή εγκατάστασης εφαρμογών Android, η οποία προτρέπει τους χρήστες να “Ανοίξουν” την εφαρμογή μετά την εγκατάστασή της.
Επιπλέον, οι εφαρμογές δεν χρησιμοποιούν κάποιο εικονίδιο και έχουν χαρακτήρα UTF-8 στην ετικέτα της εφαρμογής, γεγονός που καθιστά πιο δύσκολο τον εντοπισμό. Ταυτόχρονα, όμως, αυτό σημαίνει ότι εάν ένας χρήστης δεν ανοίξει την εφαρμογή μετά την εγκατάστασή της, πιθανότατα δεν θα την ανοίξει μετά.
Δείτε επίσης: Νέα καμπάνια Vidar malware θέτει στο στόχαστρο τους διαδικτυακούς πωλητές
Εάν ανοίξει, η adware εφαρμογή θα εμφανίσει ένα μήνυμα σφάλματος που θα αναφέρει ότι “Η εφαρμογή δεν είναι διαθέσιμη στην περιοχή σας. Πατήστε OK για απεγκατάσταση“. Ωστόσο, ακόμα και αν ο χρήστης πατήσει πάνω σε αυτή την επιλογή, η εφαρμογή δεν απεγκαθίσταται. Απλώς “κοιμάται” για δύο ώρες πριν καταχωρήσει δύο “intents” που προκαλούν την εκκίνηση της εφαρμογής κατά την εκκίνηση της συσκευής ή όταν η συσκευή είναι ξεκλείδωτη. Οι ερευνητές της Bitdefender λένε ότι το τελευταίο intent είναι απενεργοποιημένο για τις πρώτες δύο ημέρες.
Όταν ανοίξει, η εφαρμογή θα προσεγγίσει τους διακομιστές των εισβολέων και θα ανακτήσει τις διευθύνσεις URL διαφημίσεων που θα εμφανίζονται στο πρόγραμμα περιήγησης ή ως διαφήμιση WebView σε πλήρη οθόνη.
“Κατά την παρακολούθησή μας, παρατηρήσαμε ότι η εφαρμογή φορτώνει διαφημίσεις από τα ακόλουθα domains (τα domains δεν σχετίζονται απαραίτητα με κακόβουλο λογισμικό):
- Konkfan[.]com
- beahor[.]com
- gogomeza[.]com
- kenudo.net
- ehojam[.]com
- adc-ad-assets.adtilt[.]com
- adc3-launch.adcolony[.]com
- adservice.google[.]com
- auction-load.unityads.unity3d[.]com
- config.unityads.unity3d[.]com
- googleads.g.doubleclick.net
- httpkafka.unityads.unity3d[.]com
- pagead2.googlesyndication[.]com
- publisher-config.unityads.unity3d[.]com
- wd.adcolony[.]com
- Πολλά περισσότερα…”
Προς το παρόν, οι κακόβουλες εφαρμογές χρησιμοποιούνται μόνο για την προβολή διαφημίσεων (adware). Ωστόσο, οι ερευνητές προειδοποιούν ότι οι παράγοντες απειλών θα μπορούσαν εύκολα να ανταλλάξουν τις διευθύνσεις URL του adware με πιο κακόβουλους ιστότοπους. Χαρακτηριστικά, οι ερευνητές λένε ότι οι επιτιθέμενοι θα μπορούσαν να ανακατευθύνουν τους χρήστες σε άλλους τύπους κακόβουλου λογισμικού, όπως banking Trojans ή ransomware.
Δείτε επίσης: Το νέο ‘PowerDrop’ PowerShell malware στοχεύει την αεροδιαστημική βιομηχανία των ΗΠΑ
Οι προγραμματιστές κακόβουλου λογισμικού στοχεύουν σε μεγάλο βαθμό τις συσκευές Android, διότι οι χρήστες μπορούν να εγκαταστήσουν εφαρμογές από διάφορες πηγές που δεν ελέγχονται για κακόβουλο λογισμικό. Επίσης, ακόμα και τα επίσημα καταστήματα εφαρμογών μπορεί να είναι ευάλωτα. Μόλις την περασμένη εβδομάδα, ερευνητές από την Dr. Web και την CloudSEK ανακάλυψαν ένα κακόβουλο λογισμικό υποκλοπής που είχε εγκατασταθεί πάνω από 400 εκατομμύρια φορές σε συσκευές Android από εφαρμογές στο Google Play.
Ενώ έχουν βρεθεί αρκετές κακόβουλες εφαρμογές στο Google Play (adware και άλλα malware), η εγκατάσταση των εφαρμογών από το επίσημο κατάστημα Android είναι πολύ πιο ασφαλής. Επομένως, να θυμάστε ότι η εγκατάσταση εφαρμογών από αξιόπιστες πηγές, ο έλεγχος των αδειών εφαρμογών, η ενημέρωση του τηλεφώνου και των εφαρμογών σας, η χρήση λογισμικού ασφαλείας για κινητά και η αποφυγή άγνωστων πηγών μπορεί να μειώσουν σημαντικά τον κίνδυνο κακόβουλου λογισμικού και άλλων κακόβουλων δραστηριοτήτων στο τηλέφωνό σας!
Πηγή: www.bleepingcomputer.com