Se ha descubierto que miles de aplicaciones de adware para Android se disfrazan de cracks o versiones modificadas de aplicaciones populares para mostrar anuncios no deseados a los usuarios como parte de una campaña en curso desde octubre de 2022.
«La campaña está diseñada para empujar agresivamente el adware a los dispositivos Android con el propósito de generar ingresos», dijo Bitdefender en un informe técnico compartido con The Hacker News. «Sin embargo, los actores de amenazas involucrados pueden cambiar fácilmente de táctica para redirigir a los usuarios a otros tipos de malware, como troyanos bancarios para robar credenciales e información financiera o ransomware«.
La compañía rumana de ciberseguridad dijo que ha descubierto 60,000 aplicaciones únicas que llevan el adware, con la mayoría de las detecciones ubicadas en los Estados Unidos, Corea del Sur, Brasil, Alemania, el Reino Unido, Francia, Kazajstán, Rumania e Italia.
Vale la pena señalar que ninguna de las aplicaciones se distribuye a través de la tienda oficial de Google Play. En cambio, los usuarios que buscan aplicaciones como Netflix, visores de PDF, software de seguridad y versiones descifradas de YouTube en un motor de búsqueda son redirigidos a una página de anuncios que aloja el malware.
Las aplicaciones, una vez instaladas, no tienen iconos ni nombres en un intento por evadir la detección. Además, a los usuarios que inician una aplicación por primera vez después de la instalación se les muestra el mensaje «La aplicación no está disponible en su región desde donde se sirve la aplicación. Toque Aceptar para desinstalar», mientras activa sigilosamente la actividad maliciosa en segundo plano.
El modus operandi es otra área a destacar en la que el comportamiento del adware permanece inactivo durante los primeros días, después de lo cual se despierta cuando la víctima desbloquea el teléfono para publicar un anuncio de pantalla completa utilizando Android WebView.
Los hallazgos se producen cuando la firma de ciberseguridad CloudSEK reveló que había identificado el SDK deshonesto de SpinOK, que fue revelado por Doctor Web el mes pasado, en 193 aplicaciones en Google Play Store que se han descargado 30 millones de veces.
En la superficie, el módulo SpinOk está diseñado para mantener el interés de los usuarios en las aplicaciones con la ayuda de minijuegos y tareas para ganar supuestas recompensas. Pero mire dentro, el troyano alberga funcionalidades para robar archivos y reemplazar el contenido del portapapeles.
En un desarrollo relacionado, el equipo de investigación de SonicWall Capture Labs Threat también descubrió otra cepa de malware de Android que se hace pasar por aplicaciones legítimas para recopilar una amplia gama de información de teléfonos comprometidos abusando de los servicios de accesibilidad del sistema operativo.
«Estas características permiten al atacante acceder y robar información valiosa del dispositivo de la víctima, lo que puede conducir a varios tipos de fraude, incluido el fraude financiero y el robo de identidad», dijo SonicWall.
Fuente: https://thehackernews.com
