Il a été découvert que des milliers d’applications publicitaires pour Android se faisaient passer pour des cracks ou des versions modifiées d’applications populaires pour rediriger les utilisateurs afin qu’ils diffusent des publicités indésirables aux utilisateurs dans le cadre d’une campagne en cours depuis octobre 2022.
« La campagne est conçue pour pousser de manière agressive les logiciels publicitaires sur les appareils Android dans le but de générer des revenus », a déclaré Bitdefender dans un communiqué technique. rapport partagé avec The Hacker News. « Cependant, les acteurs de la menace impliqués peuvent facilement changer de tactique pour
rediriger les utilisateurs vers d’autres types de logiciels malveillants tels que les chevaux de Troie bancaires pour voler des informations d’identification et des informations financières ou des rançongiciels. »
La société roumaine de cybersécurité a déclaré avoir découvert 60 000 applications uniques contenant le logiciel publicitaire, la majorité des détections étant situées aux États-Unis, en Corée du Sud, au Brésil, en Allemagne, au Royaume-Uni, en France, au Kazakhstan, en Roumanie et en Italie.
Il convient de souligner qu’aucune des applications n’est distribuée via le Google Play Store officiel. Au lieu de cela, les utilisateurs recherchant des applications telles que Netflix, des visionneuses PDF, des logiciels de sécurité et des versions piratées de YouTube sur un moteur de recherche sont redirigés vers une page publicitaire hébergeant le logiciel malveillant.
Les applications, une fois installées, n’ont pas d’icônes ou de noms dans le but d’échapper à la détection. De plus, les utilisateurs qui lancent une application pour la première fois après l’installation voient s’afficher le message « L’application n’est pas disponible dans votre région d’où l’application sert. Appuyez sur OK pour désinstaller », tout en activant furtivement l’activité malveillante en arrière-plan.
Le modus operandi est un autre domaine à noter dans lequel le comportement du logiciel publicitaire reste inactif pendant les premiers jours, après quoi il est réveillé lorsque la victime déverrouille le téléphone afin de diffuser une annonce en plein écran à l’aide d’Android WebView.
Les découvertes arrivent alors que la société de cybersécurité CloudSEK divulgué il avait identifié le voyou SpinOK SDK – qui a été révélé par Doctor Web le mois dernier – dans 193 applications sur le Google Play Store qui ont été téléchargées 30 millions de fois.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
En surface, le module SpinOk est conçu pour maintenir l’intérêt des utilisateurs pour les applications à l’aide de mini-jeux et de tâches pour gagner des récompenses présumées. Mais regardez à l’intérieur, le cheval de Troie héberge des fonctionnalités pour voler des fichiers et remplacer le contenu du presse-papiers.
Dans un développement connexe, l’équipe de recherche SonicWall Capture Labs Threat a également mis au jour une autre souche de logiciels malveillants Android qui se fait passer pour des applications légitimes pour récolter un large éventail d’informations à partir de combinés compromis en abusant des services d’accessibilité du système d’exploitation.
« Ces fonctionnalités permettent à l’attaquant d’accéder et de voler des informations précieuses sur l’appareil de la victime, ce qui peut conduire à divers types de fraude, y compris la fraude financière et le vol d’identité », a déclaré SonicWall. a dit.