Stručnjaci za sajber bezbjednost otkrili su opsežnu prevarantsku kampanju baziranu na stotinama malicioznih Android aplikacija koje su bile dostupne na Google Play prodavnici i koje su dostigle više od 60 miliona preuzimanja.
Nazvana “Vapor”, kampanja je prvobitno otkrivena od strane IAS Threat Lab tima, koji je identifikovao 180 malicioznih aplikacija na Google Play dizajniranih da “neprestano prikazuju nametljive video oglase na cijelom ekranu”.
Prikrivene kao aplikacije za produktivnost, zdravlje i fitnes, te životni stil, Vapor softver je uspijevao da infiltrira uređaje korisnika ne izazivajući sumnju. Prilikom podnošenja Google Play prodavnici, aplikacije su bile funkcionalne, ali su kasnijim apdejtima modifikovane kako bi generisale prihod od reklama.
IAS u svom izvještaju objašnjava da su ove nadogradnje u potpunosti uklanjale funkcionalnost aplikacija, skrivale njihove ikone iz menija aplikacija i sakrivale sve vidljive UI elemente.
“Kada je aplikacija u potpunosti postavljena, odmah počinje da bombarduje korisnika video reklamama na cijelom ekranu, efektivno preuzimajući ekran uređaja i u velikoj mjeri onemogućavajući njegovu upotrebu”, navodi IAS.
Više od 180 aplikacija identifikovanih na Google Play dostiglo je više od 56 miliona preuzimanja od početka 2024. godine, pri čemu su značajni skokovi primijećeni u trećem kvartalu te godine i između novembra 2024. i januara 2025. godine.
Međutim, prema podacima Bitdefender-a, ukupan broj malicioznih aplikacija u ovoj kampanji je gotovo duplo veći, dostižći brojku od 331, dok je broj preuzimanja premašio 60 miliona.
Pored prikazivanja lažnih reklama, ove aplikacije su bile osposobljene za druge maliciozne radnje, poput pokušaja prikupljanja korisničkih kredencijala i podataka o kreditnim karticama putem fišinga.
Aplikacije su bile dizajnirane da zaobiđu bezbjednosne mjere u novijim verzijama Android-a, izvodeći zabranjene radnje poput skrivanja svojih ikona iz menija aplikacija, prikazivanja reklama izvan konteksta i pokretanja bez korisničkog učešća.
Neke od analiziranih aplikacija koristile su launcher razvijen za Android TV, što im je omogućavalo da omoguće ili onemoguće svoju ikonu bez ograničenja, dok su druge bile sposobne da se sakriju iz menija podešavanja, što je otežavalo njihovo uklanjanje.
Većina aplikacija koje je Bitdefender identifikovao pojavile su se na Google Play između avgusta 2024. i januara 2025. godine, dok su najnovije objavljene početkom marta 2025.
“Ovo je aktivna kampanja. Najnoviji malver objavljen na Google Play prodavnici postao je dostupan u prvoj sedmici marta 2025. Kada smo završili istragu, nedjelju dana kasnije, 15 aplikacija je i dalje bilo dostupno za preuzimanje na Google Play”, navodi Bitdefender.
Ova firma za sajber bezbjednost takođe je primijetila da aplikacije mogu prikazivati reklame u prvom planu čak i kada nisu pokrenute, da mogu prikazivati prilagođene poruke, poput zahtjeva za korisničkim kredencijalima, te da koriste prilagođene servere za komandovanje i kontrolu (C&C).
IAS i Bitdefender su svoje nalaze o “Vapor” operaciji prijavili Google-u, koji je uklonio sporne aplikacije iz Google Play prodavnice.
“Sve identifikovane aplikacije iz ovih izvještaja uklonjene su iz Google Play prodavnice. Android korisnici su takođe automatski zaštićeni putem Google Play Protect sistema, koji je podrazumijevano uključen na Android uređajima sa Google Play uslugama”, izjavio je portparol Google-a za SecurityWeek.
Izvor: SecurityWeek
