Selon CSO Online , le rapport de Bitdefender note que les acteurs de la menace impliqués peuvent facilement changer de tactique pour rediriger les utilisateurs vers d'autres types de logiciels malveillants, tels que des chevaux de Troie bancaires pour voler des informations de connexion, des informations financières ou des ransomwares.

Bitdefender a jusqu'à présent détecté plus de 60 000 applications Android infectées par des logiciels publicitaires et soupçonne qu'il y en a beaucoup plus. Le malware existe depuis au moins octobre 2022 et cible les utilisateurs aux États-Unis, en Corée du Sud, au Brésil, en Allemagne, au Royaume-Uni et en France.

Les acteurs de la menace utilisent des applications tierces pour distribuer des logiciels malveillants, car ils ne sont disponibles dans aucun magasin officiel. Pour convaincre les utilisateurs de télécharger et d'installer des applications tierces, les opérateurs de logiciels malveillants cachent la menace sur des articles très recherchés que les gens ne peuvent pas trouver dans les magasins officiels. Dans certains cas, ces applications copient simplement les applications publiées dans le Google Play Store. Certains types d'applications imitées par les logiciels malveillants incluent des jeux piratés, des jeux avec des fonctionnalités déverrouillées, des VPN gratuits, de faux tutoriels, des vidéos YouTube/TikTok sans publicité, des programmes utilitaires piratés, des visionneuses PDF et même de faux programmes de sécurité.

Les applications malveillantes agissent comme des applications Android normales à installer et invitent l'utilisateur à cliquer sur « Ouvrir » après l'installation. Cependant, le logiciel malveillant ne se configure pas pour s'exécuter automatiquement, car cela pourrait nécessiter des privilèges supplémentaires. Une fois installé, le malware affiche un message indiquant « application non disponible » pour tromper l'utilisateur en lui faisant croire que le malware n'existe pas, mais en réalité, il n'a pas d'icône dans le lanceur et des caractères UTF-8 dans l'étiquette, ce qui le rend plus difficile à détecter et à désinstaller.

Une fois lancée, l'application communique avec le serveur de l'attaquant et récupère les URL des annonces qui seront affichées dans le navigateur mobile ou sous forme d'annonces WebView plein écran.

Il ne s’agit là que de l’un des nombreux incidents récents impliquant des applications Android contenant des logiciels malveillants. Le mois dernier, un logiciel espion Android appelé SpinOK a été découvert par la société de cybersécurité Doctor Web. Ce malware collecte des informations sur les fichiers stockés sur l'appareil et peut les transférer à des acteurs malveillants. Il peut également remplacer et télécharger le contenu du presse-papiers sur un serveur distant. Les applications Android contenant le logiciel espion SpinOk ont ​​été installées plus de 421 millions de fois.