Эксперты Bitdefender обнаружили масштабную кампанию, связанную с рекламным мошенничеством. В магазин Google Play были загружены сотни приложений, суммарно скачанных более 60 млн раз, которые показывали полноэкранную рекламу и использовались для фишинговых атак.
«Такие приложения отображают внеконтекстную рекламу и даже пытаются убедить жертв предоставить учетные данные и информацию о банковских картах в ходе фишинговых атак», — предупреждают исследователи.
Первыми эту кампанию заметили специалисты компании Integral Ad Science (IAS), которые сообщали об обнаружении более 180 вредоносных приложений, созданных для показа бесконечной и навязчивой полноэкранной рекламы. Исследователи дали этой кампании название Vapor.
В настоящее время почти все вредоносные приложения удалены из Google Play, но специалисты IAS Threat Lab писали, что в магазине малварь маскировалась под легитимные продукты (например, QR-сканеры или приложения для фитнеса) и в общей сложности приложения насчитывали более 56 млн загрузок, ежедневно генерируя более 200 млн запросов.
«Мошенники, стоящие за операцией Vapor, создали несколько учетных записей разработчиков, каждая из которых размещала ряд приложений, чтобы избежать обнаружения, — рассказали в IAS Threat Lab. — Такая распределенная структура гарантирует, что удаление одного отдельного аккаунта окажет минимальное воздействие на операцию в целом».
Также злоумышленники использовали технику под названием «версионирование» (versioning), которая предполагает публикацию в Google Play работающих приложений без вредоносных функций, чтобы они могли пройти проверки Google. В последующих обновлениях полезные функции удаляются, и их заменяет навязчивая реклама.
Такая реклама занимает весь экран устройства и отображается поверх других приложений, делая девайс практически непригодным для использования. По оценкам специалистов, кампания началась примерно в апреле 2024 года, а в начале 2025 года стала намного активнее. Только в октябре и ноябре прошлого года в Play Store было загружено более 140 фальшивых приложений.
Как теперь сообщает Bitdefender, эта кампания оказалась более масштабной, чем предполагалось ранее. Суммарно в ней было задействовано не менее 331 приложения, которые в общей сложности скачали более 60 млн раз.
Исследователи отмечают, что приложения скрывали свою иконку от пользователей, а некоторые из них пытались отображать фальшивые экраны входа, собирая информацию о банковских картах и учетные данные жертв. Как выглядел такой фишинг, специалисты продемонстрировали в отдельном видео. К тому же вредоносное ПО могло передавать информацию о зараженном устройстве на сервер, контролируемый злоумышленниками.
Для уклонения от обнаружения применялось отключение Launcher Activity в файле AndroidManifest.xml после установки, что делало приложения невидимыми для жертв. Также порой использовался Leanback Launcher, специально разработанный для Android TV, и малварь меняла свое название и иконку, чтобы маскироваться под Google Voice.
Также в отчете упоминается, что вредоносы обходят ограничения на разрешение SYSTEM_ALERT_WINDOW в Android 13 и выше, создавая дополнительный экран, который работает как полноэкранный оверлей.
Хуже того, малварь удаляет себя из недавних задач, поэтому пользователь не может определить, какое приложение запустило рекламу.
«После завершения процедуры настройки приложение отключает свои лаунчеры, а иконка полностью исчезает с лаунчера телефона. Такое поведение не допускается в последних версиях Android, а значит, разработчики вредоносного ПО, вероятно, нашли уязвимость или злоупотребляют возможностями API. Также приложения могли запускаться без участия пользователя, хотя в Android 13 это должно быть технически невозможно», — комментируют исследователи.
Эксперты считают, что за этой кампанией стоит один или несколько злоумышленников, которые используют одинаковый инструмент для упаковки, выставленный на продажу на хакерских форумах.
При этом в Bitdefender подчеркивают, что кампания до сих пор активна. Последнее вредоносное приложение появилось в магазине Google Play в начале марта 2025 года, и около 15 вредоносных приложений все еще доступны для загрузки.
