Se ha descubierto que miles de aplicaciones de adware para Android se hacen pasar por cracks o versiones modificadas de aplicaciones populares para redirigir a los usuarios para que muestren anuncios no deseados a los usuarios como parte de una campaña en curso desde octubre de 2022.
«La campaña está diseñada para impulsar agresivamente el adware a los dispositivos Android con el propósito de generar ingresos», dijo Bitdefender en un comunicado técnico. informe compartido con The Hacker News. «Sin embargo, los actores de amenazas involucrados pueden cambiar fácilmente de táctica para
redirigir a los usuarios a otros tipos de malware, como troyanos bancarios para robar credenciales e información financiera o ransomware».
La compañía rumana de ciberseguridad dijo que descubrió 60,000 aplicaciones únicas que contienen el adware, con la mayoría de las detecciones ubicadas en los EE. UU., Corea del Sur, Brasil, Alemania, el Reino Unido, Francia, Kazajstán, Rumania e Italia.
Vale la pena señalar que ninguna de las aplicaciones se distribuye a través de la tienda oficial de Google Play. En cambio, los usuarios que buscan aplicaciones como Netflix, visores de PDF, software de seguridad y versiones descifradas de YouTube en un motor de búsqueda son redirigidos a una página de anuncios que aloja el malware.
Las aplicaciones, una vez instaladas, no tienen íconos ni nombres en un intento por evadir la detección. Además, a los usuarios que inician una aplicación por primera vez después de la instalación se les muestra el mensaje «La aplicación no está disponible en su región desde donde sirve la aplicación. Toque Aceptar para desinstalar», mientras activan sigilosamente la actividad maliciosa en segundo plano.
El modus operandi es otra área a destacar en la que el comportamiento del adware permanece inactivo durante los primeros días, después de lo cual se despierta cuando la víctima desbloquea el teléfono para mostrar un anuncio de pantalla completa con Android WebView.
Los hallazgos llegan como firma de seguridad cibernética CloudSEK revelado había identificado el SDK falso de SpinOK, que fue revelado por Doctor Web el mes pasado, en 193 aplicaciones en Google Play Store que se han descargado 30 millones de veces.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
En la superficie, el módulo SpinOk está diseñado para mantener el interés de los usuarios en las aplicaciones con la ayuda de minijuegos y tareas para ganar supuestas recompensas. Pero mire adentro, el troyano alberga funcionalidades para robar archivos y reemplazar el contenido del portapapeles.
En un desarrollo relacionado, el equipo de investigación de amenazas de SonicWall Capture Labs también descubrió otra variedad de malware de Android que se hace pasar por aplicaciones legítimas para recopilar una amplia gama de información de teléfonos comprometidos al abusar de los servicios de accesibilidad del sistema operativo.
«Estas funciones permiten al atacante acceder y robar información valiosa del dispositivo de la víctima, lo que puede conducir a varios tipos de fraude, incluido el fraude financiero y el robo de identidad», SonicWall dicho.