Компания Bitdefender из Румынии заявила о 60 тысячах приложений для ОС Android, замаскированных под настоящие программы, скрытно устанавливающих рекламное ПО на устройства. Эти приложения оставались незамеченными в течение последних 6 месяцев. Bitdefender нашла их в мае 2023 года.
Румынские ИБ‑специалисты подозревают, что приложений намного больше. Они предполагают, что начало масштабной кампании по распространению поддельных приложений со скрытой установкой рекламного ПО было положено в октябре 2022 года. Чаще всего ПО выдавало себя за антивирусные приложения, утилиты для взлома игр, VPN‑клиенты, различные служебные приложения и так далее.
Сами поддельные приложения распространяются не через Google Play, а через сторонние сайты с APK‑пакетами. Приложение не устанавливается автоматически, вместо этого оно рассчитано на то, что пользователь запустит установку приложения сам. При запуске приложения появляется сообщение, что приложение недоступно в вашем регионе и надо нажать «OK» для его удаления. После этого активируется функция, вызывающая запуск приложения при загрузке устройства или разблокировке экрана. Однако функция имеет отложенный запуск и начинает работать через несколько часов.
После активации приложение подключается к серверам злоумышленников и получает оттуда ссылки для трансляции рекламных сообщений. Пока такие атаки служат для показа рекламы, но могут быть использованы и в других целях. Специалисты Bitdefender рекомендуют пользователям не устанавливать приложений со сторонних источников.
