Laut CSO Online weist der Bericht von Bitdefender darauf hin, dass die beteiligten Bedrohungsakteure ihre Taktik problemlos ändern können, um Benutzer auf andere Arten von Malware umzuleiten, beispielsweise auf Banking-Trojaner zum Diebstahl von Anmeldeinformationen, Finanzinformationen oder Ransomware.

Bitdefender hat bisher mehr als 60.000 mit Adware infizierte Android-Apps entdeckt und vermutet, dass es noch viel mehr sind. Die Malware existiert mindestens seit Oktober 2022 und zielt auf Benutzer in den USA, Südkorea, Brasilien, Deutschland, Großbritannien und Frankreich ab.

Bedrohungsakteure verwenden Apps von Drittanbietern, um Malware zu verbreiten, da diese in keinem offiziellen Store erhältlich ist. Um Benutzer zum Herunterladen und Installieren von Apps von Drittanbietern zu bewegen, verstecken Malware-Betreiber die Bedrohung auf stark nachgefragten Artikeln, die in offiziellen Stores nicht zu finden sind. In bestimmten Fällen kopieren diese Apps einfach im Google Play Store veröffentlichte Apps. Zu den von Malware imitierten App-Typen gehören unter anderem geknackte Spiele, Spiele mit freigeschalteten Funktionen, kostenlose VPNs, gefälschte Tutorials, werbefreies YouTube/TikTok, geknackte Dienstprogramme, PDF-Viewer und sogar gefälschte Sicherheitsprogramme.

Die Malware-Apps werden wie normale Android-Apps installiert und fordern den Benutzer nach der Installation auf, auf „Öffnen“ zu klicken. Allerdings konfiguriert sich die Malware nicht so, dass sie automatisch ausgeführt wird, da hierfür möglicherweise zusätzliche Berechtigungen erforderlich wären. Nach der Installation zeigt die Malware die Meldung „App nicht verfügbar“ an, um den Benutzer glauben zu machen, dass die Malware nicht existiert. Tatsächlich weist sie jedoch kein Symbol im Launcher und UTF-8-Zeichen in der Bezeichnung auf, wodurch sie schwerer zu erkennen und zu deinstallieren ist.

Nach dem Start kommuniziert die App mit dem Server des Angreifers und ruft Anzeigen-URLs ab, die im mobilen Browser oder als Vollbild-WebView-Anzeigen angezeigt werden.

Dies ist nur einer von mehreren Vorfällen in jüngster Zeit, bei denen Android-Apps Malware enthielten. Letzten Monat wurde von der Cybersicherheitsfirma Doctor Web eine Android-Spyware namens SpinOK entdeckt. Diese Malware sammelt Informationen über auf dem Gerät gespeicherte Dateien und kann diese an böswillige Akteure übertragen. Es kann auch den Inhalt der Zwischenablage ersetzen und auf einen Remote-Server hochladen. Android-Apps mit der SpinOk-Spyware wurden mehr als 421 Millionen Mal installiert.