Μια νέα επιχείρηση, με κακόβουλες διαφημίσεις (Konfety), εκμεταλλεύεται εκατοντάδες εφαρμογές στο Google Play Store για να εξαπατήσει τους χρήστες.
Η καμπάνια έλαβε την κωδική ονομασία Konfety (ρωσική λέξη για την καραμέλα) λόγω της κατάχρησης ενός mobile advertising software development kit (SDK) που σχετίζεται με ένα ρωσικό δίκτυο διαφημίσεων και ονομάζεται CaramelAds.
“Η καμπάνια Konfety αντιπροσωπεύει μια νέα μορφή απάτης, στην οποία οι δράστες χρησιμοποιούν κακόβουλες εκδόσεις πραγματικών εφαρμογών που διατίθενται σε μεγάλες αγορές“, δήλωσε η ομάδα Satori Threat Intelligence Team της HUMAN.
Δείτε επίσης: Κακόβουλες διαφημίσεις Facebook διανέμουν info-stealing malware
Οι εφαρμογές – δολώματα είναι περισσότερες από 250, είναι αβλαβείς και διανέμονται μέσω του Google Play Store. Ωστόσο, οι αντίστοιχες “κακόβουλες δίδυμες” εφαρμογές διαδίδονται μέσω κακόβουλων διαφημίσεων.
Η πιο ασυνήθιστη πτυχή αυτής της καμπάνιας είναι ότι η κακόβουλη εφαρμογή παρουσιάζεται σαν τη νόμιμη εφαρμογή, πλαστογραφώντας το app ID της και τα publisher IDs. Τόσο το δόλωμα όσο και η κακόβουλη έκδοση λειτουργούν στην ίδια υποδομή, επιτρέποντας στους επιτιθέμενους να πραγματοποιήσουν περισσότερες ενέργειες.
Ως αποτέλεσμα, οι εφαρμογές δόλωμα συμπεριφέρονται κανονικά, αλλά στην πλειονότητά τους δεν εμφανίζουν καν διαφημίσεις. Ενσωματώνουν επίσης μια ειδοποίηση συναίνεσης GDPR.
Αυτός ο μηχανισμός “δόλωμα/κακό δίδυμο” είναι ένας νέος τρόπος για τους φορείς απειλών να περνούν το κακόβουλο traffic ως νόμιμο“, είπαν οι ερευνητές της HUMAN.
Δείτε επίσης: Το διαφημιστικό μοντέλο της Meta παραβιάζει τους κανόνες της ΕΕ
Η καμπάνια Konfety εκμεταλλεύεται τις δυνατότητες ad rendering του SDK για τη διάπραξη απάτης μέσω διαφημίσεων, καθιστώντας πολύ πιο δύσκολη τη διάκριση του κακόβουλου από το νόμιμο traffic.
Οι κακόβουλες εφαρμογές λέγεται ότι διαδίδονται μέσω κακόβουλων διαφημίσεων που προωθούν APK mods και άλλο λογισμικό όπως το Letasoft Sound Booster.
Οι χρήστες που καταλήγουν να κάνουν κλικ στις διαφημίσεις, ανακατευθύνονται σε ένα domain που τους εξαπατά για να κατεβάσουν την κακόβουλη εφαρμογή.
Το εικονίδιο της εφαρμογής κρύβεται από την αρχική οθόνη της συσκευής και εκτελεί ένα DEX payload που εκτελεί απάτες προβάλλοντας διαφημίσεις πλήρους οθόνης όταν ο χρήστης βρίσκεται στην αρχική του οθόνη ή όταν χρησιμοποιεί άλλη εφαρμογή.
Δεδομένου ότι κακόβουλες εφαρμογές βρίσκονται παντού, οι χρήστες πρέπει να επιβεβαιώνουν πάντα την αυθεντικότητα μια εφαρμογής πριν την εγκατάσταση. Αυτό μπορεί να γίνει ελέγχοντας τον προγραμματιστή της εφαρμογής και τα σχόλια των χρηστών.
Δείτε επίσης: Κακόβουλη διαφημιστική καμπάνια διαδίδει το Oyster Backdoor
Επιπλέον, οι χρήστες μπορούν να επισκέπτονται τον επίσημο ιστότοπο μιας υπηρεσίας και να βρίσκουν εκεί το link για τη λήψη της εφαρμογής από το κατάστημα εφαρμογών.
Επίσης, είναι σημαντικό να γίνεται έλεγχος των αδειών που ζητούν οι εφαρμογές, ακόμα και αν βρίσκονται στο Google Play. Εάν μια εφαρμογή ζητά πρόσβαση σε προσωπικές πληροφορίες που δεν φαίνεται να χρειάζονται για τη λειτουργία της, είναι καλύτερο να αποφύγετε την εγκατάστασή της.
Απαραίτητη είναι και η χρήση αξιόπιστων λογισμικών ασφαλείας και η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών. Τέλος, οι χρήστες πρέπει να αποφεύγουν την κοινοποίηση των προσωπικών τους πληροφοριών σε αναξιόπιστες πηγές.
Πηγή: thehackernews.com
 εκμεταλλεύεται εκατοντάδες εφαρμογές στο Google Play Store για να εξαπατήσει χρήστες.){kind=link}