Više od 250 aplikacija sa Google Play koristi se za sakrivanje ''zlonamernih blizanačkih aplikacija'' i prevaru sa oglasima

Mobilni telefoni, 18.07.2024, 12:00 PM

Više od 250 aplikacija sa Google Play koristi se za sakrivanje ''zlonamernih blizanačkih aplikacija'' i prevaru sa oglasima

Istraživači iz kompanije HUMAN Security otkrili su masovnu prevaru sa oglasima koja koristi stotine aplikacija u Google Play prodavnici koje služe kao mamci.

Kampanja je nazvana Konfety (na ruskom kонфеты - bombona) zbog zloupotrebe paketa za razvoj softvera za mobilno oglašavanje (SDK) povezanog sa ruskom oglasnom mrežom CaramelAds.

Iako su aplikacije koje služe kao mamci, a kojih ima više od 250, bezopasne i distribuiraju se preko Google Play prodavnice, aplikacije koje su njihovi „zli blizanci“ koji se distribuiraju preko oglasa dizajnirani su da olakšaju prevaru sa oglasima, nadgledaju veb pretrage, instaliraju ekstenzije pregledača i učitavaju APK fajlove na uređajima korisnika.

I aplikacije koje služe kao mamci i blizanačke aplikacije rade na istoj infrastrukturi, omogućavajući prevarantima da eksponencijalno skaliraju svoje operacije prema potrebi.

Aplikacije mamci se ponašaju normalno, većina njih čak i ne prikazuje reklame, a takođe većina ima obaveštenje o usaglašenosti sa GDPR-om.

Ovaj mehanizam "mamac/zli blizanac" je novi način da prevaranti predstave lažni saobraćaj kao legitiman.
Aplikacije blizanci se propagiraju preko kampanje koja promoviše APK modove i drugi softver kao što je Letasoft Sound Booster, sa URL-ovima koji se nalaze na domenima pod kontrolom napadača, kompromitovanim WordPress sajtovima i drugim platformama koje omogućavaju otpremanje sadržaja, uključujući Docker Hub, Facebook, Google Sites i OpenSea.

Korisnici koji kliknu na ove URL-ove preusmeravaju se na domen na kome će biti prevareni da preuzmu zlonamernu blzanačku aplikaciju, koja funkcioniše kao dropper i koja se koristi za uspostavljanje komunikacije sa serverom.

Ikona aplikacije se uklanja sa početnog ekrana uređaja i pokreće se malver druge faze napada koji prikazuje video reklame preko celog ekrana van konteksta, kada je korisnik na početnom ekranu ili koristi drugu aplikaciju.

„Suština operacije Konfety leži u zlim aplikacijama blizancima“, rekli su istraživači. „Ove aplikacije oponašaju odgovarajuće aplikacije blizance-mamce kopiranjem njihovih ID-ova aplikacija/imena paketa i ID-ova izdavača iz blizanačkih aplikacija-mamaca.“

„Mrežni saobraćaj izveden iz aplikacija koje su zli blizanci je funkcionalno identičan mrežnom saobraćaju izvedenom iz aplikacija blizanaca-mamaca; prikazi oglasa koje prikazuju zli blizanci koriste naziv paketa blizanaca-mamaca u zahtevu.“

Ove aplikacije su odgovorne i za posete veb sajtovima preko podrazumevanog veb pregledača, slanje obaveštenja koja korisnike podstiču da kliknu na linkove, ili bočno učitavanje modifikovanih verzija drugih oglasnih SDK-ova.

Korisnici se podstiču da dodaju vidžet sa alatkama za pretragu na početni ekran uređaja, koji potajno nadgleda njihove pretrage.

Istraživači kažu da prevaranti očigledno „pronalaze kreativne i pametne načine da izbegnu otkrivanje i počine održivu dugoročnu prevaru“.

Sa druge strane, Google kaže da prati različite varijacije blizanačkih aplikacija i preduzima korake da zaštiti korisnike od ove pretnje. Prema Googleu, korisnici su više od godinu dana zaštićeni od ovakvih aplikacija pomoću Google Play Protecta koji je podrazumevano uključen na Android uređajima sa Google Play Services, upozorava korisnike i onemogućava aplikacije za koje je ustanovljeno da su aplikacije “zli blizanci”.

Foto: Yura Fresh | Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Milioni korisnika Androida preuzeli sa Google Play više od 200 aplikacija zaraženih malverima

Milioni korisnika Androida preuzeli sa Google Play više od 200 aplikacija zaraženih malverima

Istraživači bezbednosti su prošle godine prijavili Googleu stotine lažnih aplikacija, upozoravajući da su milioni korisnika zarazili svoje uređ... Dalje

Nijedan antivirus ne detektuje ovaj Android malver

Nijedan antivirus ne detektuje ovaj Android malver

Analitičari malvera iz Cyble Research and Intelligence Labsa (CRIL) otkrili su novu varijantu Android bankovnog trojanca Kerber (Cerberus), malvera k... Dalje

Android trojanac TrickMo krade PIN-ove pomoću lažnih zaključanih ekrana

Android trojanac TrickMo krade PIN-ove pomoću lažnih zaključanih ekrana

Istraživači bezbednosti kompanije Zimperium otkrili su čak 40 novih varijanti Android bankarskog trojanca TrickMo, povezanih sa 16 droppera i 22 ra... Dalje

Trojanac Octo2, maskiran u Google Chrome ili NordVPN, krade lozinke i novac sa računa korisnika zaraženih Android telefona

Trojanac Octo2, maskiran u Google Chrome ili NordVPN, krade lozinke i novac sa računa korisnika zaraženih Android telefona

Istraživači Threat Fabrica su otkrili novu verziju malvera Octo, koja je do sada viđena u Italiji, Poljskoj, Moldaviji i Mađarskoj. Oni predviđaj... Dalje

Zbog zabrane američke vlade Google uklonio Kaspersky aplikacije sa Google Play, oglasio se Kaspersky

Zbog zabrane američke vlade Google uklonio Kaspersky aplikacije sa Google Play, oglasio se Kaspersky

Google je tokom vikenda uklonio Kaspersky aplikacije za Android iz Google Play prodavnice i ugasio nalog programera ruske kompanije. Korisnici su toko... Dalje