Πρόσφατα, αποκαλύφθηκε μια εκστρατεία κακόβουλων εφαρμογών Android, γνωστή ως “Vapor”, η οποία διήρκεσε από τις αρχές του 2024 έως τον Μάρτιο του 2025. Περισσότερες από 300 τέτοιες εφαρμογές κακόβουλου λογισμικού διατέθηκαν μέσω του Google Play Store, συγκεντρώνοντας συνολικά 60 εκατομμύρια λήψεις. Αυτές οι εφαρμογές λειτουργούσαν είτε ως adware είτε επιδίωκαν την κλοπή διαπιστευτηρίων και πληροφοριών πιστωτικών καρτών.
Οι εφαρμογές της εκστρατείας “Vapor” παρουσιάζονταν ως χρήσιμα εργαλεία, όπως εφαρμογές υγείας και φυσικής κατάστασης, σημειωματάρια, βελτιστοποιητές μπαταρίας και σαρωτές QR κωδίκων. Κατά την υποβολή τους στο Google Play, περνούσαν τους ελέγχους ασφαλείας της Google, καθώς περιείχαν την υποσχόμενη λειτουργικότητα και δεν περιείχαν κακόβουλα στοιχεία εκείνη τη στιγμή. Ωστόσο, μετά την εγκατάσταση, οι εφαρμογές λάμβαναν κακόβουλη λειτουργικότητα μέσω ενημερώσεων από διακομιστές ελέγχου και εντολών (C2).
Μετά την εγκατάσταση, οι κακόβουλες εφαρμογές απενεργοποιούσαν τη δραστηριότητα εκκίνησής τους στο αρχείο AndroidManifest.xml, καθιστώντας τις αόρατες στον χρήστη. Σε ορισμένες περιπτώσεις, μετονόμαζαν τον εαυτό τους στις ρυθμίσεις για να εμφανίζονται ως νόμιμες εφαρμογές, όπως το “Google Voice”. Οι εφαρμογές εκκινούνταν χωρίς την αλληλεπίδραση του χρήστη και χρησιμοποιούσαν εγγενή κώδικα για να ενεργοποιήσουν ένα δευτερεύον κρυφό στοιχείο, διατηρώντας την εκκινητή απενεργοποιημένη ώστε το εικονίδιο να παραμένει κρυφό.
Η εκστρατεία “Vapor” εντοπίστηκε αρχικά από το IAS Threat Lab, το οποίο κατέγραψε 180 εφαρμογές που συμμετείχαν στην εκστρατεία, παράγοντας 200 εκατομμύρια ψευδείς αιτήσεις προσφορών διαφημίσεων καθημερινά για να εμπλακούν σε μεγάλης κλίμακας απάτη διαφημίσεων. Αργότερα, η Bitdefender αύξησε τον αριθμό των κακόβουλων εφαρμογών σε 331, αναφέροντας πολλές μολύνσεις σε χώρες όπως η Βραζιλία, οι Ηνωμένες Πολιτείες, το Μεξικό, η Τουρκία και η Νότια Κορέα.
Παρά την αφαίρεση αυτών των εφαρμογών από το Google Play, υπάρχει σημαντικός κίνδυνος η εκστρατεία “Vapor” να επανεμφανιστεί μέσω νέων εφαρμογών, καθώς οι απειλητικοί παράγοντες έχουν ήδη αποδείξει την ικανότητά τους να παρακάμπτουν τη διαδικασία ελέγχου της Google.
Οι χρήστες Android συνιστάται να είναι προσεκτικοί κατά την εγκατάσταση νέων εφαρμογών, να ελέγχουν τις άδειες που ζητούνται και να διατηρούν ενημερωμένο το λογισμικό ασφαλείας τους για να προστατευθούν από τέτοιες απειλές.
