Les chercheurs en cybersécurité ont mis en garde contre une campagne de fraude publicitaire à grande échelle qui a exploité des centaines d’applications malveillantes publiées sur le Google Play Store pour diffuser des publicités à l’écran complet et mener des attaques de phishing.
“Les applications affichent des publicités hors contexte et essaient même de persuader les victimes de fournir des informations d’identification et des informations sur les cartes de crédit dans les attaques de phishing”, Bitdefender dit Dans un rapport partagé avec le Hacker News.
Les détails de l’activité ont été divulgués pour la première fois par la science des publicités intégrale (IAS) plus tôt ce mois-ci, documentant la découverte de plus de 180 applications qui ont été conçues pour déployer des publicités vidéo interstitives intégrales sans fin et intrusives. Le régime de fraude publicitaire a été nommé Vapor.
Ces applications, qui ont depuis été supprimées par Google, se sont masquées comme des applications légitimes et ont collectivement amassé plus de 56 millions de téléchargements entre eux, générant plus de 200 millions de demandes d’offres par jour.
“Les fraudeurs derrière l’opération de vapeur ont créé plusieurs comptes de développeurs, chacun n’ayant qu’une poignée d’applications pour distribuer leur fonctionnement et échapper à la détection”, a déclaré le laboratoire de menace IAS. “Cette configuration distribuée garantit que le retrait de tout compte unique aurait un impact minimal sur l’opération globale.”
En imitant des applications d’utilité, de remise en forme et de style de vie apparemment inoffensives, l’opération a pu duper des utilisateurs involontaires pour les installer.
Un autre aspect important est que les acteurs de la menace ont été trouvés en utilisant une technique sournoise appelée versioning, qui implique de publier sur le Play Store une application fonctionnelle sans toute fonctionnalité malveillante, de sorte qu’elle transmet le processus de vérification de Google. Les fonctionnalités sont supprimées dans les mises à jour des applications ultérieures pour afficher des annonces intrusives.
De plus, les annonces détournent l’écran entier de l’appareil et empêchent la victime d’utiliser l’appareil, ce qui le rend largement inopérable. Il a évalué que la campagne a commencé vers avril 2024, avant de se développer au début de cette année. Plus de 140 fausses applications ont été téléchargées sur le Play Store en octobre et novembre seulement.
Les dernières découvertes de la société roumaine de cybersécurité montrent que la campagne est plus grande qu’on ne le pensait, avec autant que 331 applications Cela a accumulé plus de 60 millions de téléchargements au total.
En plus de cacher l’icône de l’application du lanceur, certaines des applications identifiées ont également été observées tentant de collecter des données de carte de crédit et des informations d’identification des utilisateurs pour les services en ligne. Le logiciel malveillant est également capable d’extrater des informations de périphérique à un serveur contrôlé par l’attaquant.
Une autre technique utilisée pour l’évasion de détection est l’utilisation de Lanceur de leanbackun type de lanceur spécialement conçu pour les appareils TV basés sur Android et la modification de son propre nom et icône pour imiter Google Voice.
“Les attaquants ont trouvé un moyen de masquer les icônes des applications au lanceur, ce qui est limité aux nouvelles itérations Android”, a déclaré Bitdefender. “Les applications peuvent démarrer sans interaction utilisateur, même si cela ne devrait pas être techniquement possible dans Android 13.”
On pense que la campagne est le travail d’un seul acteur de menace ou de plusieurs cybercriminels qui utilisent le même outil d’emballage qui est annoncé à la vente sur des forums souterrains.
“Les applications étudiées contournent les restrictions de sécurité Android pour démarrer les activités même si elles ne fonctionnent pas au premier plan et, sans les autorisations requises pour le faire, spammer les utilisateurs avec des publicités continues et écran”, a ajouté la société. “Le même comportement est utilisé pour servir des éléments d’interface utilisateur avec des tentatives de phishing.”




