Более 60 млн установок, сотни миллионов фальшивых просмотров рекламы и мимикрия под легитимные приложения. Операция получила название «Vapor».
Еще в 2024 эксперты компании IAS Threat Lab обнаружили 190 вредоносных приложений, принадлежащих той же самой группировке мошенников. Сейчас их число увеличилось до 331.
Злоумышленники маскировали приложения под считыватели QR-кода, инструменты для мониторинга здоровья, стоковые для скачивания обоев на телефон и др. Среди них — AquaTracker, ClickSave Downloader и Scan Hawk, каждый из которых был загружен не менее 1 млн раз.
На самом деле они предназначались для накрутки просмотров рекламы, кражи банковских данных, логинов и паролей. Например, вредонос мог подменять страницы авторизации в YouTube и соцсетях на фишинговые.
Ряд приложений работал в фоновом режиме и скрытно запускал рекламу. Однако некоторые из них могли открыто показывать видеорекламу на весь экран. А чтобы пользователи не могли её закрыть, злоумышленники скрывали кнопку «Назад» и блокировали выход из просмотра жестом.
Это не первый случай обнаружения такого большого количества вредоносных приложений в Google Play. Ранее мы рассказывали о мошеннической операции под кодовым названием Konfety, одной из целей которой было мошенничество с рекламой.
Чтобы как можно дольше оставаться незамеченными на устройстве жертвы, установленные вредоносные приложения мимикрировали под реальные, например Google Voices. Для этого злоумышленники запускали код, который переименовывал их и заменял иконки, а также убирал из списка последних запущенных приложений.
Наибольшее число заражений пришлось на Америку: Бразилия, США, Мексика, а также Азию: Турция и Южная Корея. На текущий момент вредоносные приложения удалены из Google Play.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
