Pesquisadores de cibersegurança alertaram sobre uma campanha de fraude de publicidade em larga escala que utilizou centenas de aplicativos maliciosos publicados na Google Play Store para exibir anúncios em tela cheia e conduzir ataques de phishing.
"Os aplicativos exibem anúncios fora de contexto e até tentam persuadir as vítimas a entregar credenciais e informações de cartão de crédito em ataques de phishing," disse a Bitdefender em um relatório compartilhado.
Detalhes da atividade foram primeiramente divulgados pela Integral Ad Science (IAS) mais cedo neste mês, documentando a descoberta de mais de 180 apps que foram projetados para implantar anúncios de vídeo intersticiais em tela cheia incessantes e intrusivos.
O esquema de fraude de publicidade foi codinomeado Vapor.
Esses aplicativos, que desde então foram retirados pela Google, se disfarçavam de aplicativos legítimos e, coletivamente, acumularam mais de 56 milhões de downloads entre eles, gerando mais de 200 milhões de solicitações de lance diariamente.
"Os fraudadores por trás da operação Vapor criaram múltiplas contas de desenvolvedores, cada uma hospedando apenas um punhado de aplicativos para distribuir sua operação e evadir detecção," disse o IAS Threat Lab.
Essa configuração distribuída garante que a remoção de qualquer conta individual tenha um impacto mínimo na operação geral.
Ao se fazerem passar por aplicações inofensivas de utilidade, fitness e estilo de vida, a operação conseguiu enganar os usuários a instalá-las.
A campanha permanece em andamento, com o aplicativo mais recente carregado com malware publicado na Google Play Store na primeira semana de março de 2025.
Outro aspecto importante é que os atores de ameaças foram encontrados empregando uma técnica astuta chamada versioning, que envolve publicar na Play Store um aplicativo funcional sem qualquer funcionalidade maliciosa de forma que passe pelo processo de avaliação da Google.
A funcionalidade maliciosa é introduzida em atualizações subsequentes do aplicativo, substituindo os recursos legítimos com táticas para maximizar a receita de anúncios através de anúncios em vídeo.
Além disso, os anúncios sequestram a tela inteira do dispositivo e impedem a vítima de usar o dispositivo, tornando-o em grande parte inoperante.
Estima-se que a campanha tenha começado por volta de abril de 2024, antes de se expandir no início deste ano.
Mais de 140 aplicativos falsos foram carregados na Play Store apenas em outubro e novembro.
As últimas descobertas da empresa romena de cibersegurança mostram que a campanha é maior do que se pensava anteriormente, apresentando até 331 aplicativos que acumularam mais de 60 milhões de downloads no total.
Além de ocultar o ícone do aplicativo do launcher, alguns dos aplicativos identificados também foram observados tentando coletar dados de cartão de crédito e credenciais de usuário para serviços online exibindo páginas falsas.
O malware também é capaz de exfiltrar informações do dispositivo para um servidor controlado pelo atacante.
Outra técnica usada para evasão de detecção é o uso do Leanback Launcher, um tipo de launcher especificamente projetado para dispositivos baseados em Android TV, e mudando seu próprio nome e ícone para se passar por Google Voice.
"Os atacantes descobriram uma maneira de ocultar os ícones dos aplicativos do launcher, o que é restrito nas novas iterações do Android," disse a Bitdefender.
Os aplicativos podem iniciar sem interação do usuário, mesmo que isso tecnicamente não deveria ser possível no Android 13.
Acredita-se que a campanha seja obra de um único ator de ameaça ou vários cibercriminosos que estão fazendo uso da mesma ferramenta de empacotamento que é anunciada à venda em fóruns underground.
"As aplicações investigadas contornam as restrições de segurança do Android para iniciar atividades mesmo que não estejam em execução em primeiro plano e, sem as permissões necessárias para fazê-lo, inundam os usuários com anúncios contínuos em tela cheia," acrescentou a empresa.
O mesmo comportamento é usado para servir elementos de UI que apresentam tentativas de phishing.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...