Malver u više od 300 aplikacija na Google Play, aplikacije instalirane 60 miliona puta

Mobilni telefoni, 19.03.2025, 10:30 AM

Više od 300 zlonamernih Android aplikacija koje su sa Google Play preuzete 60 miliona puta, delovale su kao reklamni softver (adware) ili su pokušavale da ukradu od korisnika lozinke i informacije o kreditnim karticama.

Operaciju koja traje od početka prošle godine, prva je otkrila IAS Threat Lab, koja ju je nazvala „Vapor“. IAS je identifikovala 180 aplikacija koje su deo Vapor kampanje, prevare sa oglasima velikih razmera.

Nedavno objavljeni izveštaj Bitdefender-a povećao je broj zlonamernih aplikacija u kampanji Vapor na 331. Bitdefender je izvestio o velikom broju infekcija u Brazilu, Sjedinjenim Državama, Meksiku, Turskoj i Južnoj Koreji. Osim što prikazuju oglase, ove aplikacije u phishing napadima pokušavaju da ubede žrtve da im daju podatke za prijavljivanje i informacije o kreditnim karticama, upozorava Bitdefender.

Iako su sve ove aplikacije do sada uklonjene sa Google Play, postoji značajan rizik da će se Vapor vratiti kroz nove aplikacije pošto su oni koji stoje iza njih već pokazali da umeju i mogu da zaobiđu Google-ov proces provere aplikacija.

Aplikacije koje se koriste u kampanji Vapor su fitnes aplikacije, aplikacije za vođenje beleški i dnevnici, optimizatori baterije i skeneri QR kodova.

Aplikacije prolaze Google-ove bezbednosne provere jer imaju promovisanu funkcionalnost a nemaju maliciozne komponente pre Google-ove provere. Maliciozne komponente se preuzimaju tek nakon instalacije putem ažuriranja isporučenih sa servera za komandu i kontrolu (C2).

Aplikacije iz ove kampanje koje su izdvojili Bitdefender i IAS su aplikacije sa po milion preuzimanja - AquaTracker, ClickSave Downloader, Scan Hawk, Water Time Tracker i Be More, zatim aplikacija BeatWatch sa 500.000 preuzimanja, TranslateScan sa 100.000 preuzimanja i Handset Locator sa 50.000 preuzimanja.

Vapor aplikacije su sa različitih naloga programera, od kojih svaki ima samo nekoliko ovih aplikacija u prodavnici, verovatno kako se ne bi rizikovao veliki poremećaj u slučaju da budu uklonjene sa Google Play. Iz sličnih razloga, svaki izdavač koristi drugačiji SDK za oglase.

Većina Vapor aplikacija objavljena je na Google Play u periodu od oktobra 2024. do januara 2025. godine, ali su se pojavljivale na Google Play i posle toga, sve do danas.

Vapor aplikacije nakon instalacije isključuju svoj Launcher Activity u AndroidManifest.xml, što ih čini nevidljivim. U nekim slučajevima menja se njihov naziv u podešavanjima pa se one vide kao legitimne aplikacije (npr. Google Voice). Aplikacije se pokreću bez interakcije korisnika, preuzimaju sekundarnu skrivenu komponentu, a ikona aplikacije je sakrivena. Na taj način, Vapor aplikacije zaobilaze Android 13+ bezbednosne zaštite koje sprečavaju aplikacije da dinamički onemogućavaju svoj Launcher Activity kada su aktivne.

Aplikacije takođe zaobilaze ograničenja dozvole „SYSTEM_ALERT_WINDOW“ na Androidu 13+, kreirajući sekundarni ekran koji preklapa celi ekran uređaja. Oglasi se prikazuju na ovom ekranu, koji je iznad svih drugih aplikacija, a korisnik nema mogućnosti da izađe iz ovog ekrana jer je dugme „back“ onemogućeno.

Aplikacija se takođe uklanja iz „Recent Tasks“, tako da korisnik ne može da odredi koja je aplikacija pokrenula oglas.

Bitdefender upozorava da neke aplikacije nisu samo angažovane u prevari sa oglasima, već prikazuju i lažne ekrane za prijavu na Facebook i YouTube da bi ukrale podatke za prijavljivanje ili čak podstakle korisnike da unesu informacije o kreditnoj kartici pod različitim izgovorima.

Ako ste instalirali bilo koju od ovih aplikacija, odmah ih uklonite i pokrenite kompletno skeniranje sistema sa Google Play Protect ili nekim drugim antivirusom.

Kompletnu listu sa 331 Vapor aplikacijom možete naći ovde.

Foto: Denny Müller | Unsplash