Исследователи в области кибербезопасности предупреждают о масштабной кампании мошенничества с рекламой, которая использовала сотни вредоносных приложений, опубликованных в Google Play Store, для показа полноэкранной рекламы и проведения фишинговых атак.
Подробности активности
Деятельность впервые была раскрыта Integral Ad Science (IAS) в начале марта 2025 года. Компания задокументировала обнаружение более 180 приложений, созданных для показа бесконечной и навязчивой полноэкранной видеорекламы. Схеме мошенничества было присвоено кодовое имя Vapor.
Эти приложения, которые теперь удалены Google, маскировались под легитимные программы и в совокупности набрали более 56 миллионов загрузок. Кампания генерировала свыше 200 миллионов рекламных запросов в день. Маскируясь под безобидные утилиты, приложения для фитнеса и лайфстайла, мошенники успешно вводили в заблуждение пользователей, заставляя их устанавливать вредоносные приложения. Кампания продолжается, а последнее зараженное приложение было опубликовано в Google Play Store в первой неделе марта 2025 года.
Использование техники «версионирования»
Злоумышленники применяют хитрую технику под названием “версионирование”, публикуя функциональное приложение без вредоносных функций, чтобы пройти проверку Google. Вредоносный код добавляется в последующих обновлениях, заменяя легитимные функции на методы максимизации дохода через видеорекламу.
Кроме того, реклама блокирует весь экран устройства, мешая пользователю использовать его, фактически делая устройство непригодным для работы. Предполагается, что кампания началась в апреле 2024 года и расширилась в начале 2025 года. Более 140 поддельных приложений было загружено в Play Store только в октябре и ноябре 2024 года.
Масштаб кампании
Новые данные от румынской компании Bitdefender показывают, что кампания оказалась крупнее, чем считалось ранее: она включает 331 приложение с более чем 60 миллионами загрузок. Некоторые приложения скрывали свои значки из лаунчера, а также пытались собирать данные кредитных карт и учетные данные пользователей, отображая поддельные страницы. Вредоносное ПО также способно эксфильтрировать информацию об устройстве на серверы, контролируемые атакующими.
Техника уклонения от обнаружения
Злоумышленники использовали такие методы, как:
• Применение Leanback Launcher, предназначенного для устройств на базе Android TV.
• Обход ограничений Android, позволяя приложениям запускаться без взаимодействия пользователя даже на Android 13.
Реакция Google
Google удалил все выявленные приложения из Play Store.
Подробности активности
Деятельность впервые была раскрыта Integral Ad Science (IAS) в начале марта 2025 года. Компания задокументировала обнаружение более 180 приложений, созданных для показа бесконечной и навязчивой полноэкранной видеорекламы. Схеме мошенничества было присвоено кодовое имя Vapor.
Эти приложения, которые теперь удалены Google, маскировались под легитимные программы и в совокупности набрали более 56 миллионов загрузок. Кампания генерировала свыше 200 миллионов рекламных запросов в день. Маскируясь под безобидные утилиты, приложения для фитнеса и лайфстайла, мошенники успешно вводили в заблуждение пользователей, заставляя их устанавливать вредоносные приложения. Кампания продолжается, а последнее зараженное приложение было опубликовано в Google Play Store в первой неделе марта 2025 года.
Использование техники «версионирования»
Злоумышленники применяют хитрую технику под названием “версионирование”, публикуя функциональное приложение без вредоносных функций, чтобы пройти проверку Google. Вредоносный код добавляется в последующих обновлениях, заменяя легитимные функции на методы максимизации дохода через видеорекламу.
Кроме того, реклама блокирует весь экран устройства, мешая пользователю использовать его, фактически делая устройство непригодным для работы. Предполагается, что кампания началась в апреле 2024 года и расширилась в начале 2025 года. Более 140 поддельных приложений было загружено в Play Store только в октябре и ноябре 2024 года.
Масштаб кампании
Новые данные от румынской компании Bitdefender показывают, что кампания оказалась крупнее, чем считалось ранее: она включает 331 приложение с более чем 60 миллионами загрузок. Некоторые приложения скрывали свои значки из лаунчера, а также пытались собирать данные кредитных карт и учетные данные пользователей, отображая поддельные страницы. Вредоносное ПО также способно эксфильтрировать информацию об устройстве на серверы, контролируемые атакующими.
Техника уклонения от обнаружения
Злоумышленники использовали такие методы, как:
• Применение Leanback Launcher, предназначенного для устройств на базе Android TV.
• Смена имени и значка приложения, чтобы маскироваться под Google Voice.
• Обход ограничений Android, позволяя приложениям запускаться без взаимодействия пользователя даже на Android 13.
Реакция Google
Google удалил все выявленные приложения из Play Store.
