331 вирусные приложения: как злонамеренный код проходит через фильтры Google Play

Большая атака на устройства Android осталась незамеченной до последнего момента.

Исследователи открыли крупную кампанию из злонамеренных приложений Android, загруженных более 60 миллионов раз из Google Play. Эти приложения использовались для отображения навязчивой рекламы и кражи учетных данных, а также информации о банковских картах.

Аналитики IAS угрозы лаборатории назвали эту деятельность ‘Пары«И они сообщили, что атака началась в начале 2024 года. В ходе своего расследования они определили 180 заявлений, связанных с мошенническими схемами, которые приносили до 200 миллионов заявок на рекламу в день. Однако более подробное расследование битдефдеров увеличило количество вредоносных применений до 331, а самое высокое. Южная Корея.

Приложения, распространяемые в рамках кампании, предлагают различные коммунальные услуги, такие как инструменты для мониторинга здоровья и физической активности, организатор, оптимизаторы батареи и QR -сканеры. Они успешно прошли процесс проверки Google Play, поскольку изначально не содержали вредоносный код. Однако после установки приложения загружают вредоносные компоненты с сервера управления.

По словам BitDefender, эти приложения скрыли свои операции, деактивируя активность запуска на AndroidManifest.xml, делая невидимым для пользователя. В некоторых случаях они были замаскированы под системные программы, такие как Google Voice. После начала они активируют скрытые модули и продолжают работать в фоновом режиме.

Более того обходить ограничения Android 13+Создавая полные экраны, которые блокируют возможность выйти из рекламы. Они также скрыты из списка недавно запускаемых программ, оставляя пользователя без возможности определить, какая программа вызвала окно POP -UP.

Некоторые из приложений находятся дальше от мошенничества с рекламой, заменив экраны входа в Facebook и YouTube, заставляя жертв ввести свои учетные данные и приглашать их ввести информацию о своих банковских картах под различными предложениями.

Хотя все вредоносные программы уже были удалены из Google Play, эксперты предупреждают, что злоумышленники могут повторить атаку, создав новые версии этих приложений. Исследователи подчеркивают, что разработчики использовали разные учетные записи для передачи приложений, что сводит к минимуму риск удаления массового уровня.

Наиболее популярными среди зараженных приложений являются:

• Aquatracker — 1 миллион загрузок;
• ClickSave Downloader — 1 миллион загрузок;
• Scan Hawk — 1 миллион загрузок;
• Трекер времени воды — 1 миллион загрузок;
• Быть больше — 1 миллион загрузок;
• Beatwatch — 500 000 загрузок;
• TranslatesCan — 100 000 загрузок;
• Локатор телефона — 50 000 загрузок.

Публикация этих приложений состоялась в период с октября 2024 года по январь 2025 года, а последние загрузки на платформу продолжались до марта.

Эксперты рекомендуют, чтобы пользователи Android избегали установки ненужных приложений неизвестными разработчиками, тщательно контролируют запрошенные разрешения и периодически проверяют список установленных приложений через «Настройки → Приложения → Все приложения».

Если какое -либо из приложений в списке обнаружено на устройстве, оно должно быть немедленно удалить, и полное системное сканирование выполняется с использованием Google Play Protect и антивирусного программного обеспечения.