Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch gian lận quảng cáo quy mô lớn đã lợi dụng hàng trăm ứng dụng độc hại được xuất bản trên Cửa hàng Google Play để hiển thị quảng cáo toàn màn hình và thực hiện các cuộc tấn công lừa đảo.

Các ứng dụng hiển thị quảng cáo không đúng ngữ cảnh và thậm chí cố gắng thuyết phục nạn nhân cung cấp thông tin đăng nhập và thông tin thẻ tín dụng trong các cuộc tấn công lừa đảo,Chi tiết về hoạt động này lần đầu tiên được tiết lộ bởi Integral Ad Science (IAS) vào đầu tháng này, ghi nhận việc phát hiện hơn 180 ứng dụng được thiết kế để triển khai quảng cáo video xen kẽ toàn màn hình vô tận và xâm nhập. Chiêu trò gian lận quảng cáo này được đặt tên mã là Vapor. Những ứng dụng đã bị Google gỡ xuống, ngụy trang dưới dạng các ứng dụng hợp pháp và đã thu về tổng cộng hơn 56 triệu lượt tải xuống, tạo ra hơn 200 triệu yêu cầu đặt giá thầu hàng ngày.

“Những kẻ gian lận đứng sau hoạt động Vapor đã tạo nhiều tài khoản nhà phát triển, mỗi tài khoản chỉ chứa một số ít ứng dụng để phân tán hoạt động của chúng và tránh bị phát hiện,” IAS Threat Lab cho biết. “Thiết lập phân tán này đảm bảo rằng việc gỡ xuống bất kỳ tài khoản đơn lẻ nào sẽ có tác động tối thiểu đến toàn bộ hoạt động.” Bằng cách bắt chước các ứng dụng tiện ích, thể dục và phong cách sống có vẻ vô hại, chiến dịch này đã thành công trong việc lừa người dùng nhẹ dạ cả tin cài đặt chúng. Chiến dịch vẫn đang tiếp diễn, với ứng dụng chứa phần mềm độc hại mới nhất được xuất bản trên Cửa hàng Google Play vào tuần đầu tiên của tháng 3 năm 2025.

Một khía cạnh quan trọng khác là các tác nhân đe dọa đã được phát hiện sử dụng một kỹ thuật lén lút gọi là versioning, bao gồm việc xuất bản lên Play Store một ứng dụng hoạt động bình thường mà không có bất kỳ chức năng độc hại nào để vượt qua quy trình kiểm duyệt của Google. Chức năng độc hại được đưa vào trong các bản cập nhật ứng dụng tiếp theo, thay thế các tính năng hợp pháp bằng các chiến thuật để tối đa hóa doanh thu quảng cáo thông qua quảng cáo video. Hơn nữa, các quảng cáo chiếm toàn bộ màn hình thiết bị và ngăn nạn nhân sử dụng thiết bị, khiến thiết bị phần lớn không hoạt động được. Người ta đánh giá rằng chiến dịch bắt đầu vào khoảng tháng 4 năm 2024, trước khi mở rộng vào đầu năm nay. Hơn 140 ứng dụng giả mạo đã được tải lên Play Store chỉ riêng trong tháng 10 và tháng 11.

Những phát hiện mới nhất từ công ty an ninh mạng Romania cho thấy chiến dịch này lớn hơn những gì người ta nghĩ trước đây, với số lượng lên tới 331 ứng dụng đã thu về tổng cộng hơn 60 triệu lượt tải xuống. Bên cạnh việc ẩn biểu tượng ứng dụng khỏi trình khởi chạy, một số ứng dụng được xác định cũng đã bị phát hiện cố gắng thu thập dữ liệu thẻ tín dụng và thông tin đăng nhập của người dùng cho các dịch vụ trực tuyến bằng cách hiển thị các trang giả mạo. Phần mềm độc hại này cũng có khả năng đánh cắp thông tin thiết bị gửi đến một máy chủ do kẻ tấn công kiểm soát.

Một kỹ thuật khác được sử dụng để trốn tránh bị phát hiện là sử dụng Leanback Launcher, một loại trình khởi chạy được thiết kế đặc biệt cho các thiết bị TV dựa trên Android, và thay đổi tên và biểu tượng của chính nó để mạo danh Google Voice. “Những kẻ tấn công đã tìm ra cách để ẩn biểu tượng của ứng dụng khỏi trình khởi chạy, điều này bị hạn chế trên các phiên bản Android mới hơn,” Bitdefender cho biết. “Các ứng dụng có thể khởi động mà không cần sự tương tác của người dùng, mặc dù về mặt kỹ thuật điều này không thể xảy ra trên Android 13.” Người ta tin rằng chiến dịch này là công việc của một tác nhân đe dọa duy nhất hoặc một số tội phạm mạng đang sử dụng cùng một công cụ đóng gói được quảng cáo để bán trên các diễn đàn ngầm.

“Các ứng dụng được điều tra đã vượt qua các hạn chế bảo mật của Android để bắt đầu các hoạt động ngay cả khi chúng không chạy ở chế độ nền và, mà không có quyền cần thiết để làm như vậy, spam người dùng bằng các quảng cáo toàn màn hình liên tục,” công ty cho biết thêm. “Hành vi tương tự được sử dụng để hiển thị các yếu tố giao diện người dùng có các nỗ lực lừa đảo.”

Security365 !