Laut einem Bericht des rumänischen Cybersicherheitsunternehmens Bitdefender wurden diese bösartigen Apps nun mithilfe einer Funktion zur Anomalieerkennung entdeckt, die dem hinzugefügt wurde Bitdefender Mobile Security Software letzten Monat.
„Miteinander ausgehen, Bitdefender hat 60.000 völlig unterschiedliche Beispiele (einzigartige Apps) entdeckt, die die Adware enthalten, und wir vermuten, dass es noch viel mehr in freier Wildbahn gibt“, warnte das Cybersicherheitsunternehmen.
Dem Bericht zufolge startete die Kampagne wahrscheinlich im Oktober 2022 und wurde in Form gefälschter Sicherheitssoftware, Spiel-Cracks, Cheats usw. verbreitet. VPN Software, Netflix und Dienstprogramm-Apps auf Websites Dritter. Die Malware-Kampagne richtete sich vor allem an Nutzer in den USA, Südkorea, Brasilien, Deutschland, Großbritannien und Frankreich.
Wie Apps Benutzer ansprechen
Diese bösartigen Apps waren bei Google Play nicht verfügbar und wurden über Websites Dritter verbreitet. Diese Seiten tauchen auf Google-Suche Ergebnisse und drängen Benutzer dazu, APKs und Android-Pakete herunterzuladen und zu installieren.
Wenn Benutzer die Websites besuchen, werden sie entweder auf Websites mit Werbung weitergeleitet oder aufgefordert, die gesuchte App herunterzuladen. Diese Websites sind speziell für die Verbreitung bösartiger Android-Apps konzipiert. Wenn SS-Benutzer diese mit Spikes versehenen Apps installieren, infizieren sie die Android-Geräte mit Adware.
Diese Apps verfügen nicht über die zusätzlichen Berechtigungen, sich selbst so zu konfigurieren, dass sie nach der Installation automatisch ausgeführt werden. Sie sind vielmehr vom normalen Android-App-Installationsablauf abhängig. Bei diesem Vorgang werden Benutzer aufgefordert, eine App nach der Installation zu „öffnen“.
Darüber hinaus verwenden diese Apps auch kein Symbol und haben ein UTF-8-Zeichen in der App-Beschriftung. Dadurch sind diese Apps schwerer zu erkennen. Dies hat jedoch sowohl Vor- als auch Nachteile, da es auch bedeutet, dass, wenn ein Benutzer die App nach der Installation nicht startet, sie wahrscheinlich überhaupt nicht gestartet wird.
Wie sich diese Apps auf Geräte auswirken
Beim Start dieser Apps wird eine Fehlermeldung angezeigt, die besagt: „Die Anwendung ist in Ihrer Region nicht verfügbar. Tippen Sie zum Deinstallieren auf OK.“ In Wirklichkeit wird die App nicht deinstalliert, sondern schläft einfach ein paar Stunden, bevor sie zwei „Absichten“ registriert. Dadurch wird die App gestartet, wenn das Gerät gestartet oder entsperrt wird.
Bitdefender behauptet, dass letztere Absicht wahrscheinlich in den ersten beiden Tagen deaktiviert wird, um einer Entdeckung durch den Benutzer zu entgehen.
Wenn Benutzer die App starten, erreicht ein Signal die Server der Angreifer und ruft die anzuzeigenden Werbe-URLs ab. Diese Anzeigen werden entweder im mobilen Browser oder als WebView-Anzeige im Vollbildmodus angezeigt.
Derzeit werden diese bösartigen Apps nur zum Anzeigen von Werbung verwendet. Forscher haben jedoch gewarnt, dass die Angreifer die Adware-URLs gegen bösartigere Websites austauschen können.
„Nach einer Analyse ist die Kampagne darauf ausgelegt, Adware aggressiv auf Android-Geräte zu verbreiten, um den Umsatz zu steigern. Die beteiligten Bedrohungsakteure können jedoch leicht ihre Taktik ändern, um Benutzer auf andere Arten von Malware umzuleiten, beispielsweise Banktrojaner, um Anmeldeinformationen und Finanzinformationen zu stehlen, oder Ransomware.“ „, warnte Bitdefender.
So schützen Sie
Obwohl es Berichte über das Vorhandensein schädlicher Apps im Google Play Store gibt, wird Benutzern von Android-Smartphones empfohlen, keine Apps von Drittanbietern zu installieren, da diese ein häufiger Ort für die Verbreitung von Malware sind.