Peneliti cybersecurity telah memperingatkan tentang kampanye penipuan iklan berskala besar yang telah memanfaatkan ratusan aplikasi jahat yang diterbitkan di Google Play Store untuk menyajikan iklan layar penuh dan melakukan serangan phishing.
“Aplikasi menampilkan iklan di luar konteks dan bahkan mencoba membujuk para korban untuk memberikan kredensial dan informasi kartu kredit dalam serangan phishing,” kata Bitdefender dalam sebuah laporan yang dibagikan dengan The Hacker News.
Rincian kegiatan pertama kali diungkapkan oleh Integral AD Science (IAS) awal bulan ini, mendokumentasikan penemuan lebih dari 180 aplikasi yang direkayasa untuk menggunakan iklan video interstitial layar penuh yang tak ada habisnya dan mengganggu. Skema penipuan iklan adalah kode nama uap.
Aplikasi ini, yang sejak itu telah diturunkan oleh Google, disamerade sebagai aplikasi yang sah dan secara kolektif mengumpulkan lebih dari 56 juta unduhan di antara mereka, menghasilkan lebih dari 200 juta permintaan penawaran setiap hari.
“Penipu di balik operasi uap telah menciptakan beberapa akun pengembang, masing -masing hosting hanya segelintir aplikasi untuk mendistribusikan operasi mereka dan menghindari deteksi,” kata Lab Ancaman IAS. “Pengaturan terdistribusi ini memastikan bahwa pencopotan akun tunggal akan memiliki dampak minimal pada operasi keseluruhan.”
Dengan meniru aplikasi utilitas, kebugaran, dan gaya hidup yang tampaknya tidak berbahaya, operasi ini telah berhasil menipu pengguna yang tidak disadari untuk memasangnya.
Aspek penting lainnya adalah bahwa para aktor ancaman telah ditemukan menggunakan teknik licik yang disebut Versioning, yang melibatkan penerbitan ke Play Store aplikasi fungsional tanpa fungsionalitas jahat sehingga melewati proses pemeriksaan Google. Fitur -fitur dihapus dalam pembaruan aplikasi berikutnya untuk menampilkan iklan yang mengganggu.
Terlebih lagi, iklan membajak seluruh layar perangkat dan mencegah korban menggunakan perangkat, menjadikannya sebagian besar tidak dapat dioperasikan. Dinilai bahwa kampanye dimulai sekitar April 2024, sebelum berkembang pada awal tahun ini. Lebih dari 140 aplikasi palsu diunggah ke Play Store pada bulan Oktober dan November saja.
Temuan terbaru dari perusahaan cybersecurity Rumania menunjukkan bahwa kampanye ini lebih besar dari yang diperkirakan sebelumnya, menampilkan sebanyak 331 aplikasi yang memeras total lebih dari 60 juta unduhan.
Selain menyembunyikan ikon aplikasi dari peluncur, beberapa aplikasi yang diidentifikasi juga telah diamati mencoba mengumpulkan data kartu kredit dan kredensial pengguna untuk layanan online. Malware juga mampu mengekspiltrasi informasi perangkat ke server yang dikendalikan penyerang.
Teknik lain yang digunakan untuk penghindaran deteksi adalah penggunaan peluncur Leanback, jenis peluncur yang dirancang khusus untuk perangkat TV berbasis Android, dan mengubah nama dan ikonnya sendiri untuk menyamar sebagai Google Voice.
“Penyerang menemukan cara untuk menyembunyikan ikon aplikasi dari peluncur, yang dibatasi pada iterasi Android yang lebih baru,” kata Bitdefender. “Aplikasi dapat dimulai tanpa interaksi pengguna, meskipun ini seharusnya tidak secara teknis di Android 13.”
Dipercayai bahwa kampanye ini adalah karya aktor ancaman tunggal atau beberapa penjahat cyber yang memanfaatkan alat pengemasan yang sama yang diiklankan untuk dijual di forum bawah tanah.
“Aplikasi yang diselidiki memotong pembatasan keamanan Android untuk memulai kegiatan bahkan jika mereka tidak berjalan di latar depan dan, tanpa izin yang diperlukan untuk melakukannya, spam pengguna dengan iklan layar penuh,” tambah perusahaan. “Perilaku yang sama digunakan untuk melayani elemen UI yang menampilkan upaya phishing.”
