Исследователи обнаружили крупную кампанию вредоносных Android-приложений, загруженных более 60 миллионов раз с Google Play. Эти программы использовались для показа навязчивой рекламы и кражи учётных данных и информации о банковских картах. Аналитики IAS Threat Lab дали этой активности название «Vapor» и сообщили , что атака ведётся с начала 2024 года. В ходе расследования они выявили 180 приложений, связанных с мошенническими схемами, которые генерировали до 200 миллионов рекламных запросов ежедневно. Однако более детальное исследование Bitdefender увеличило число вредоносных приложений до 331, выявив наибольшее число заражений в Бразилии, США, Мексике, Турции и Южной Корее. Приложения, распространяемые в рамках кампании, предлагали разнообразные утилиты, такие как инструменты для отслеживания здоровья и физической активности, органайзеры, оптимизаторы батареи и QR-сканеры. Они успешно проходили проверку Google Play, так как изначально не содержали вредоносного кода. Однако после установки программы загружали вредоносные компоненты с управляющего сервера. По данным Bitdefender, эти приложения скрывали свою активность, отключая Launcher Activity в AndroidManifest.xml, делая себя невидимыми для пользователя. В ряде случаев они маскировались под системные программы, например, под Google Voice. После запуска они активировали скрытые модули, продолжая работать в фоновом режиме. Дополнительно вредоносные приложения обходили ограничения Android 13+, создавая полноэкранные наложения, которые блокировали возможность выхода из рекламы. Они также скрывали себя из списка недавно запущенных программ, не оставляя пользователю возможности определить, какая именно программа вызвала всплывающее окно. Некоторые из приложений шли дальше простого мошенничества с рекламой — они подделывали экраны входа в Facebook и YouTube, заставляя жертв вводить свои учётные данные, а также предлагали ввести информацию о банковских картах под различными предлогами. Хотя все обнаруженные вредоносные программы уже удалены из Google Play, специалисты предупреждают, что злоумышленники могут повторить атаку, загружая новые версии этих приложений. Исследователи подчёркивают, что разработчики использовали разные учётные записи для загрузки приложений, минимизируя риски массового удаления.
Наиболее популярные среди заражённых приложений:
— AquaTracker — 1 миллион загрузок;
— ClickSave Downloader — 1 миллион загрузок;
— Scan Hawk — 1 миллион загрузок;
— Water Time Tracker — 1 миллион загрузок;
— Be More — 1 миллион загрузок;
— BeatWatch — 500 000 загрузок;
— TranslateScan — 100 000 загрузок;
— Handset Locator — 50 000 загрузок.
Публикация этих программ происходила с октября 2024 по январь 2025 года, а последние загрузки на платформу продолжались до марта. Эксперты рекомендуют пользователям Android избегать установки ненужных приложений от неизвестных разработчиков, внимательно следить за запрашиваемыми разрешениями и периодически проверять список установленных программ через «Настройки → Приложения → Все приложения». Если одно из приложений из списка было обнаружено на устройстве, его следует немедленно удалить и выполнить полное сканирование системы с помощью Google Play Protect и антивирусного ПО.