През последните шест месеца над 60 000 приложения за Android, прикрити като легитимни приложения, незабелязано са инсталирали рекламен софтуер в мобилните устройства. Откритието идва от румънската компания за киберсигурност Bitdefender, която е засякла злонамерените приложения с помощта на функция за откриване на аномалии, добавена миналия месец към антивирусния пакет Bitdefender Mobile Security.

"Към днешна дата новият антивирусен пакет е открил около 60 000 напълно различни извадки (уникални приложения), съдържащи този рекламен софтуер, и подозираме, че в дивата природа те са много повече", предупреди румънската компания за киберсигурност Bitdefender.

Предполага се, че кампанията е започнала през месец октомври 2022 г. и се разпространява като фалшив софтуер за сигурност, кракове за игри, чийтове, VPN софтуер, Netflix и приложения за най-различни "полезни" услуги в сайтове на трети страни. Bleeping Computer допълва, че кампанията за разпространение на зловреден софтуер е насочена предимно към потребителите в Съединените щати, следвани от Южна Корея, Бразилия, Германия, Обединеното кралство и Франция.

Разбира се, тези зловредни приложения не се хостват в Google Play, а в най-различни сайтове на трети страни, които предлагат инсталационни APK файлове за ръчно инсталиране на приложения в мобилната операционна система Android. Работата на този зловреден софтуер е стандартна: ръчно инсталираното от потребителя приложение периодично го препраща към сайтове с реклами и уеб страници, подканящи за изтеглянето на други подобни приложения. Тези сайтове са нарочно създадени, за да разпространяват тези приложения, заразяващи мобилните устройства и по този начин процесът се ускорява и постепенно става вирусен.

По-интересен е процесът на стартиране на някое от тези приложения. Когато се стартира, приложението извежда съобщение за грешка, което гласи: "Тази програма не може да работи във вашия регион. Моля, кликнете върху ОК, за да я деинсталирате". В действителност приложението не се инсталира, а прекратява почти всякаква дейност в продължение на два часа, след което регистрира две събития за своето автоматичното стартиране – при рестартиране и при включване на устройството.

Сега вече, при стартирането на зловредното приложение, то се свързва със сървърите на хакерите и извлича рекламни URL адреси, които ще бъдат показвани в мобилния браузър, както и като WebView реклама на цял екран.

Bitdefender специално подчертават, че засега тези приложения се използват само за показване на реклами, но хакерите могат съвсем лесно да променят URL адресите в рекламния софтуер с нещо много по-лошо, което напълно да дискредитира мобилното устройство. Напълно е възможно хакерите да изчакват да се заразят колкото се може повече потребители и след това да предприемат нещо по-коварно.

Приложенията в Google Play внимателно се проверяват за наличието на подобни зарази, въпреки че и там има изключения. Но инсталирането на Android приложения от официалния магазин на Google е много по-безопасно. Препоръките са да не се инсталират Android приложения от трети страни, понеже те са най-използваният вектор за хакерски атаки.