Adware auf Google Play und Apple Store 13 Millionen Mal installiert

adware, google, play, apple

Sicherheitsforscher haben 75 Anwendungen bei Google Play und weitere zehn im App Store von Apple entdeckt, die in Anzeigenbetrug verwickelt sind. Zusammengenommen kommen sie auf 13 Millionen Installationen.

Neben der Überflutung der mobilen Nutzer mit sichtbarer und versteckter Werbung generieren die betrügerischen Apps auch Einnahmen, indem sie sich als legitime Apps ausgeben und Eindrücke vermitteln.

Obwohl diese Art von Apps nicht als ernsthafte Bedrohung angesehen wird, können ihre Betreiber sie für gefährlichere Aktivitäten nutzen.

Forscher des Satori Threat Intelligence-Teams von HUMAN haben eine Sammlung mobiler Apps identifiziert, die Teil einer neuen Kampagne zum Anzeigenbetrug sind, die sie „Scylla“ nennen.

Die Analysten glauben, dass Scylla die dritte Welle einer Operation ist, die sie im August 2019 entdeckten und als „Poseidon“ bezeichneten. Die zweite Welle, die offenbar vom selben Bedrohungsakteur ausgeht, wurde „Charybdis“ genannt und erreichte Ende 2020 ihren Höhepunkt.

Anzeigenbetrügerische Apps

Das Satori-Team hat Google und Apple über seine Erkenntnisse informiert, und die Apps wurden aus den offiziellen Android- und iOS-Stores entfernt.

Auf Android-Geräten sollten die Apps automatisch erkannt werden, es sei denn, Sie haben die Sicherheitsoption „Play Protect“ deaktiviert.

Für iOS ist Apple nicht klar, wie man bereits auf dem Gerät installierte Adware-Apps entfernen kann. Human empfiehlt Nutzern, die betrügerischen Apps zu entfernen, falls sie auf ihren Geräten vorhanden sind. Eine kurze Liste mit den am häufigsten heruntergeladenen Apps finden Sie unten:

iOS-App-Liste:

  • Plündern Sie das Schloss. com.Beute.rcastle.Kampf.battle (id1602634568)
  • Run Bridge. com.ausführen.Brücke.Rennen (id1584737005)
  • Shinning Gun. com.leuchtend.Waffe.iOS (id1588037078)
  • Rennlegende 3D. com.racing.Legende.wie (id1589579456)
  • Rope Runner. com.Seil.Läufer.Familie (id1614987707)
  • Holzbildhauer. com.Holz.Bildhauer.Cutter (id1603211466)
  • Fire-Wall. com.Feuer.Wand.poptit (id1540542924)
  • Ninja Critical Hit. wger.ninjacriticalhit.iOS (id1514055403)
  • Tony Runs. com.TonyRuns.Spiel
Siehe auch  Wie man die Apple ID eines Freundes herausfindet

Android-App-Liste (1 Million Downloads)

  • Super Hero. Rette die Welt! com.asuper.man.Spielmilch
  • Finde 10 Unterschiede. com.verschiedene.zehn.spotgames
  • Finde 5 Unterschiede. com.finden.fünf.subtil.Unterschiede.spot.neue
  • Dinosaurier-Legende. com.huluwagames.Dinosaurier.Legende.spielen
  • Einzeilige Zeichnung. com.eine.Zeile.Zeichnung.Schlaganfall.yuxi
  • Schießmeister. com.Schütze.Meister.Aufzählung.rätsel.huahong
  • Talentfalle. NEU. com.talent.Falle.stop.alle

Die vollständige Liste der Anwendungen, die Teil der Scylla-Anzeigenbetrugswelle sind, finden Sie im Bericht von HUMAN.

Malware-Details

Die Scylla-Apps verwenden in der Regel eine Bundle-ID, die nicht mit dem Namen ihrer Publikation übereinstimmt, um den Werbekunden den Eindruck zu vermitteln, dass die Anzeigenklicks/-impressionen aus einer profitableren Softwarekategorie stammen.

Die Forscher von HUMAN fanden heraus, dass 29 Scylla-Apps bis zu 6.000 CTV-basierte Apps imitierten und regelmäßig die IDs durchliefen, um die Betrugserkennung zu umgehen.

C2-Antwort mit ID-Spoofing-Anweisungen (HUMAN)

Unter Android werden die Anzeigen in versteckten WebView-Fenstern geladen, so dass das Opfer nie etwas Verdächtiges bemerkt, da alles im Hintergrund geschieht.

adware, google, play, apple

UI-Elemente, die den Standort von Webviews für Anzeigen identifizieren (HUMAN)

Generierung eines gefälschten Klicks auf die unsichtbare Werbung (HUMAN)

Darüber hinaus verwendet die Adware ein „JobScheduler“-System, um Werbeeinblendungen auszulösen, wenn die Opfer ihre Geräte nicht aktiv nutzen, z. B. wenn der Bildschirm ausgeschaltet ist.

JobScheduler-Code (HUMAN)

Die Anzeichen für Betrug werden in den Protokollen aufgezeichnet und können in den Aufzeichnungen von Netzwerkpaketen gesehen werden, aber normale Benutzer nehmen diese normalerweise nicht unter die Lupe.

adware, google, play, apple

Anzeigenverkehr in Netzwerkprotokollen (HUMAN)

Im Vergleich zu „Poseidon“, der ersten Kampagne für diese Operation, verwenden die Scylla-Apps zusätzliche Ebenen der Code-Verschleierung mit dem Allatori Java Obfuscator. Dies erschwert die Erkennung und das Reverse Engineering für Forscher.

Benutzer sollten ihre Apps auf bösartige oder unerwünschte Apps überwachen, indem sie auf einige Anzeichen achten, die typischerweise auf ein Problem hinweisen, wie z. B. eine schnelle Entleerung des Akkus und eine erhöhte Internetdatennutzung oder Apps, an deren Installation man sich nicht erinnern kann.

Siehe auch  Samsung TV-Fernbedienung funktioniert nicht

Es wird auch empfohlen, die Liste der installierten Apps zu überprüfen und diejenigen zu entfernen, an deren Installation Sie sich nicht erinnern können oder die von einem unbekannten Anbieter stammen.

Source

Image:www.bleepingcomputer.com

| Denial of responsibility | Contacts |RSS