Los investigadores de ciberseguridad han advertido sobre una campaña de fraude publicitario a gran escala que ha aprovechado cientos de aplicaciones maliciosas publicadas en la tienda Google Play para publicar anuncios de pantalla completa y realizar ataques de phishing.
“Las aplicaciones muestran anuncios fuera de contexto e incluso tratan de persuadir a las víctimas para que regalen credenciales e información de tarjetas de crédito en ataques de phishing”, dijo Bitdefender en un informe compartido con Hacker News.
Los detalles de la actividad fueron revelados por primera vez por Integral Ad Science (IAS) a principios de este mes, documentando el descubrimiento de más de 180 aplicaciones que fueron diseñadas para implementar anuncios de video intersticiales de pantalla completa interminable e intrusiva. El esquema de fraude publicitario se llamó en código Vapor.
Estas aplicaciones, que desde entonces han sido retiradas por Google, se disfrazaron de aplicaciones legítimas y acumularon colectivamente más de 56 millones de descargas entre ellas, generando más de 200 millones de solicitudes de oferta diariamente.
“Los estafadores detrás de la operación de vapor han creado múltiples cuentas de desarrolladores, cada una alojando solo un puñado de aplicaciones para distribuir su operación y evadir la detección”, dijo el IAS Amenazas Lab. “Esta configuración distribuida asegura que el derribo de cualquier cuenta tendría un impacto mínimo en la operación general”.
Al imitar las aplicaciones de utilidad, fitness y estilo de vida aparentemente inofensivo, la operación ha podido engañar con éxito a los usuarios involuntarios para instalarlos.
Otro aspecto importante es que se ha encontrado que los actores de amenaza emplean una técnica furtiva llamada Versión, que implica publicar en Play Store una aplicación funcional sin cualquier funcionalidad maliciosa de modo que pase el proceso de investigación de Google. Las características se eliminan en las actualizaciones de aplicaciones posteriores para mostrar anuncios intrusivos.
Además, los anuncios secuestran toda la pantalla del dispositivo y evitan que la víctima use el dispositivo, lo que lo hace en gran medida inoperable. Se evalúa que la campaña comenzó en algún momento alrededor de abril de 2024, antes de expandirse a principios de este año. Se cargaron más de 140 aplicaciones falsas en Play Store en octubre y noviembre solo.
Los últimos hallazgos de la compañía rumana de ciberseguridad muestran que la campaña es más grande de lo que se pensaba anteriormente, con hasta 331 aplicaciones que acumularon más de 60 millones de descargas en total.
Además de ocultar el ícono de la aplicación del lanzador, algunas de las aplicaciones identificadas también se han observado que intentan recopilar datos de tarjetas de crédito y credenciales de usuario para servicios en línea. El malware también es capaz de exfiltrar la información del dispositivo a un servidor controlado por el atacante.
Otra técnica utilizada para la evasión de detección es el uso de LeanBack Launcher, un tipo de lanzador diseñado específicamente para dispositivos de TV basados en Android, y cambiar su propio nombre e ícono para hacerse pasar por Google Voice.
“Los atacantes descubrieron una forma de ocultar los íconos de las aplicaciones del lanzador, que está restringido en iteraciones de Android más nuevas”, dijo Bitdefender. “Las aplicaciones pueden comenzar sin la interacción del usuario, aunque esto no debería ser técnicamente posible en Android 13”.
Se cree que la campaña es el trabajo de un actor de una sola amenaza o de varios ciberdelincuentes que están haciendo uso de la misma herramienta de embalaje que se anuncia a la venta en foros subterráneos.
“Las aplicaciones investigadas evitan las restricciones de seguridad de Android para iniciar actividades incluso si no se ejecutan en primer plano y, sin permisos requeridos para hacerlo, spam a los usuarios con anuncios continuos de pantalla completa”, agregó la compañía. “El mismo comportamiento se usa para servir elementos de interfaz de usuario con intentos de phishing”.
