Мащабна атака срещу Android устройствата е останала незабелязана до последния момент.

Изследователи откриха голяма кампания от зловредни приложения за Android, изтеглени над 60 милиона пъти от Google Play. Тези приложения са били използвани за показване на натрапчиви реклами и за кражба на идентификационни данни, както и информация за банкови карти.

Анализаторите от IAS Threat Lab нарекоха тази дейност „Vapor“ и съобщиха, че атаката е започнала в началото на 2024 г. По време на разследването си те са идентифицирали 180 приложения, свързани с измамните схеми, които са генерирали до 200 милиона рекламни заявки дневно. По-подробно разследване на Bitdefender обаче увеличи броя на злонамерените приложения до 331, като разкри най-голям брой заразявания в Бразилия, САЩ, Мексико, Турция и Южна Корея.

Разпространяваните в рамките на кампанията приложения предлагат различни помощни програми, като например инструменти за мониторинг на здравето и физическата активност, органайзер, оптимизатори на батерията и QR скенери. Те са преминали успешно процеса на проверка в Google Play, тъй като първоначално не са съдържали зловреден код. След като се инсталират обаче, приложенията изтеглят зловредни компоненти от контролен сървър.

Според Bitdefender тези приложения са скрили дейността си, като са деактивирали Launcher Activity в AndroidManifest.xml, правейки се невидими за потребителя. В някои случаи те са се маскирали като системни програми, например Google Voice. След като бъдат стартирани, те активират скритите модули и продължават да работят във фонов режим.

Освен това злонамерените приложения заобикалят ограниченията на Android 13+, като създават наслагвания на цял екран, които блокират възможността за излизане от рекламите. Те също така се скриват от списъка с наскоро стартираните програми, като оставят потребителя без възможност да определи коя програма е предизвикала изскачащия прозорец.

Някои от приложенията отиват по-далеч от рекламните измами, като подменят екраните за вход във Facebook и YouTube, принуждават жертвите да въведат своите идентификационни данни и ги подканват да въведат информация за техните банкови карти под различни предлози.

Въпреки че всички открити зловредни програми вече са премахнати от Google Play, експертите предупреждават, че нападателите могат да повторят атаката, като създадат нови версии на тези приложения. Изследователите подчертават, че разработчиците са използвали различни акаунти за прехвърлянето на приложенията, което свежда до минимум риска от масово изтриване.

Най-популярните сред заразените приложения са:

• AquaTracker – 1 милион изтегляния;
• ClickSave Downloader – 1 милион изтегляния;
• Scan Hawk – 1 милион изтегляния;
• Water Time Tracker – 1 милион изтегляния;
• Be More – 1 милион изтегляния;
• BeatWatch – 500 000 изтегляния;
• TranslateScan – 100 000 изтегляния;
• Handset Locator – 50 000 изтегляния.

Публикуването на тези приложения е станало между октомври 2024 г. и януари 2025 г., като последните изтегляния в платформата продължават до март.

Експертите препоръчват на потребителите на Android да избягват инсталирането на ненужни приложения от неизвестни разработчици, да следят внимателно за исканите разрешения и периодично да проверяват списъка с инсталираните приложения чрез „Настройки → Приложения → Всички приложения“.

Ако на устройството бъде открито някое от приложенията в списъка, то трябва незабавно да бъде деинсталирано и да се извърши пълно сканиране на системата с помощта на Google Play Protect и антивирусен софтуер.