Egy jelentős hirdetési csalási kampány során a felhasználók több mint 60 millió alkalommal töltöttek le rosszindulatú alkalmazásokat a Google Play Áruházból, figyelmeztet a Bitdefender. A támadók legalább 331 rosszindulatú alkalmazást helyeztek el a playáruházbn. A teljes képernyős hirdetések megjelenítése mellett egyes alkalmazások adathalász oldalakra is irányították a felhasználókat, hogy megszerezzék azok hitelesítő adatait.
„A legtöbb alkalmazás először 2024 harmadik negyedévében jelent meg a Google Play-en.” – közölte a Bitdefender. „További elemzéseink során megállapítottuk, hogy a már korábban, a harmadik negyedév előtt közzétett alkalmazások kezdetben ártalmatlanok voltak, és nem tartalmaztak kártékony komponenseket. Ezekbe a rosszindulatú funkciókat csak később, frissítések útján, 2024 harmadik negyedévének elején kerültek be.”
Az alkalmazások népszerű segédprogramknak álcázták magukat, mint például a QR-kód olvasók, költségtervezők, egészségügyi alkalmazások.
„Az egyik módszer, amellyel egy rosszindulatú alkalmazás rejtve maradhat a felhasználó elől, az ikon elrejtése – azóta ez már nem megengedett az Android operációs rendszerben.” – írják a kutatók.
A kutatók megfigyelései alapján a támadók számos módon hidalták át sikeresen a korlátozást.
Az alkalmazásokban alapértelmezés szerint le van tiltva a Launcher Activity (az alkalmazásindító felület, amelyet a felhasználó lát és elindít). Ezt követően az Android egyik háttérkomponensét, a tartalomszolgáltatót használják ki az alkalmazás automatikus elindítására, majd natív kód segítségével engedélyezik a launchert – feltehetően azért, hogy elkerüljék az automatikus észlelést.