В апреле 2024 года киберэксперты зафиксировали мошенническую кампанию, направленную на пользователей Google Play, где злоумышленники распространяют приложения, замаскированные под утилиты, фитнес и лайфстайл-сервисы.
Мошенники используют полноэкранные рекламные объявления и фишинговые атаки через навязчивые видеовставки, что приводит к блокированию устройства и вынуждает пользователей раскрывать личные данные и информацию о кредитных картах. Как отмечает Bitdefender: «Приложения показывают несоответствующую рекламу и даже пытаются убедить пользователей предоставить учетные данные и данные кредитных карт в фишинговых атаках».
Компания Integral Ad Science (IAS) обнаружила более 180 приложений с постоянным показом полноэкранных видеореклам, дав название операции «Vapor». IAS задокументировала первые детали кампании, в которой также участвуют компании Bitdefender и румынский кибербезопасностный эксперт.
Последующие исследования показали, что число вредоносных приложений достигло 331, а общее число загрузок превысило 60 миллионов. Ежедневно эти программы генерируют более 200 миллионов запросов на ставки. Мошенники используют стратегию распределения активности через несколько аккаунтов разработчиков, каждый из которых содержит лишь несколько приложений для уменьшения риска блокировки.
Злоумышленники публикуют безопасную версию приложения, чтобы пройти проверку Google, а затем обновляют его, убирая полезный функционал и добавляя навязчивую рекламу. Некоторые приложения скрывают свою иконку в лаунчере, а с помощью Leanback Launcher изменяют название и символику, выдавая себя за Google Voice. Аналитики отмечают: «Злоумышленники, стоящие за операцией Vapor, создали несколько аккаунтов разработчиков, каждый из которых содержит всего несколько приложений, чтобы распределить свою деятельность и избежать обнаружения».
Часть программ способна не только отображать полноэкранные объявления, но и собирать сведения о кредитных картах и учетных данных, а также передавать информацию об устройстве на серверы злоумышленников, что усугубляет риск фишинговых атак.
Операция достигла нового уровня масштабности в начале текущего года: только в октябре и ноябре на Google Play было загружено более 140 поддельных приложений, что значительно расширило воздействие кампании.
Эксперты предполагают, что за кампанией могут стоять как отдельные угрозы, так и группы киберпреступников, использующие один и тот же инструмент упаковки, который продается на специализированных криминальных форумах.
Аналитики подчеркивают, что приложения обходят ограничения Android, что позволяет им запускаться без явного взаимодействия пользователя и без необходимых разрешений, что делает возможным непрерывный показ полноэкранных фишинговых элементов и навязчивых рекламных объявлений.
Изображение носит иллюстративный характер
Мошенники используют полноэкранные рекламные объявления и фишинговые атаки через навязчивые видеовставки, что приводит к блокированию устройства и вынуждает пользователей раскрывать личные данные и информацию о кредитных картах. Как отмечает Bitdefender: «Приложения показывают несоответствующую рекламу и даже пытаются убедить пользователей предоставить учетные данные и данные кредитных карт в фишинговых атаках».
Компания Integral Ad Science (IAS) обнаружила более 180 приложений с постоянным показом полноэкранных видеореклам, дав название операции «Vapor». IAS задокументировала первые детали кампании, в которой также участвуют компании Bitdefender и румынский кибербезопасностный эксперт.
Последующие исследования показали, что число вредоносных приложений достигло 331, а общее число загрузок превысило 60 миллионов. Ежедневно эти программы генерируют более 200 миллионов запросов на ставки. Мошенники используют стратегию распределения активности через несколько аккаунтов разработчиков, каждый из которых содержит лишь несколько приложений для уменьшения риска блокировки.
Злоумышленники публикуют безопасную версию приложения, чтобы пройти проверку Google, а затем обновляют его, убирая полезный функционал и добавляя навязчивую рекламу. Некоторые приложения скрывают свою иконку в лаунчере, а с помощью Leanback Launcher изменяют название и символику, выдавая себя за Google Voice. Аналитики отмечают: «Злоумышленники, стоящие за операцией Vapor, создали несколько аккаунтов разработчиков, каждый из которых содержит всего несколько приложений, чтобы распределить свою деятельность и избежать обнаружения».
Часть программ способна не только отображать полноэкранные объявления, но и собирать сведения о кредитных картах и учетных данных, а также передавать информацию об устройстве на серверы злоумышленников, что усугубляет риск фишинговых атак.
Операция достигла нового уровня масштабности в начале текущего года: только в октябре и ноябре на Google Play было загружено более 140 поддельных приложений, что значительно расширило воздействие кампании.
Эксперты предполагают, что за кампанией могут стоять как отдельные угрозы, так и группы киберпреступников, использующие один и тот же инструмент упаковки, который продается на специализированных криминальных форумах.
Аналитики подчеркивают, что приложения обходят ограничения Android, что позволяет им запускаться без явного взаимодействия пользователя и без необходимых разрешений, что делает возможным непрерывный показ полноэкранных фишинговых элементов и навязчивых рекламных объявлений.
