Egy nagyszabású hirdetési csalási akció során több mint 60 millió alkalommal töltöttek le kártékony alkalmazásokat a Google Play Áruházból – figyelmeztet a Bitdefender kiberbiztonsági cég. A támadók legalább 331 rosszindulatú applikációt helyeztek el az áruházban, amelyek nemcsak zavaró, teljes képernyős hirdetéseket jelenítettek meg, hanem egyes esetekben adathalász weboldalakra is átirányították a felhasználókat, hogy megszerezzék bejelentkezési adataikat.
A Bitdefender jelentése szerint a legtöbb fertőzött alkalmazás 2024 harmadik negyedévében jelent meg a Google Play-en. A kutatók ugyanakkor azt is megállapították, hogy több olyan app is volt, amely már korábban is elérhető volt az áruházban, ám kezdetben még nem tartalmazott semmilyen ártalmas funkciót. Ezekbe a káros kódokat csak későbbi frissítésekkel, a harmadik negyedév elején építették be a fejlesztők.
Az érintett alkalmazások gyakran népszerű segédprogramoknak álcázták magukat – például QR-kód olvasóknak, pénzügyi tervező vagy egészségügyi alkalmazásoknak –, ezzel is növelve az esélyét, hogy a felhasználók letöltsék őket.
A kutatók szerint a rosszindulatú szoftverek egy trükkös technikát alkalmaztak annak érdekében, hogy észrevétlenek maradjanak: elrejtették az alkalmazás ikonját a felhasználók elől. Bár az Android rendszer legfrissebb verzióiban már nem engedélyezett ez a gyakorlat, a támadók mégis meg tudták kerülni a korlátozásokat.
A Bitdefender elemzése szerint az alkalmazásokban alapértelmezetten letiltották a „Launcher Activity”-t – vagyis azt a felületet, amelyen keresztül a felhasználók elindíthatják az appokat. Ehelyett az Android egyik háttérfunkcióját, a tartalomszolgáltatót használták ki arra, hogy az alkalmazás automatikusan elinduljon, majd natív kód segítségével mégis engedélyezték a launchert. Ez a módszer vélhetően azt a célt szolgálta, hogy az automatikus biztonsági ellenőrzések ne vegyék észre a kártékony viselkedést.
(via)
