This post is also available in:
English (אנגלית)
דו"ח חדש חשף קמפיין נרחב של אפליקציית אנדרואיד זדונית המכונה "Vapor", שמטרתו להונות משתמשים לשתף מידע רגיש באמצעות מודעות מטעות וטקטיקות. קמפיין פעיל זה, שהתגלה לראשונה על ידי IAS Threat Labs, ופורט עוד יותר בדו"ח של Bitdefender. האפליקציות הזדוניות, במסווה של כלי עזר שימושיים כמו סורקי QR, מכשירי מעקב רפואיים וכלי ניהול הוצאות, הורדו ביחד יותר מ-60 מיליון פעמים, כאשר חלק מהאפליקציות עולות על מיליון הורדות בחנות גוגל פליי.
הקמפיין פעל בעיקר בברזיל, ארה"ב ומקסיקו. למרות שרוב האפליקציות הוסרו מחנות הפליי על ידי גוגל, גרסאות חדשות ממשיכות לצוץ. למעשה, אפליקציה אחת הועלתה ממש במרץ 2025, ונשארה בחנות במשך שבוע לפני שהורדה. אפליקציות אלה, שבהתחלה אינן מראות התנהגות זדונית כלשהי, מתחמקות מאמצעי ההגנה של גוגל פליי על ידי מינוף של Android ContentProvider, רכיב שהופעל מיד לאחר ההתקנה, לפני שהמשתמש מקיים אינטראקציה עם האפליקציה.
לאחר ההתקנה, האפליקציות משתמשות מציגות מודעות פולשניות במסך מלא. כדי להימנע מזיהוי, חלק מהאפליקציות מחביאות את הסמלים שלהן או משנות את שמותיהן כדי לחקות אפליקציות לגיטימיות, כמו למשל שינוי שם ל-"Google Voice". זוהי טקטיקה שנועדה להקשות על מציאת האפליקציה ועל הסרת ההתקנה שלה.
האפליקציות הזדוניות משתמשות בטכניקות מתוחכמות כדי להוציא מידע מהמכשירים, מה שהופך את הזיהוי למאתגר יותר. בנוסף, התוקפים משתמשים גם בטקטיקות הפחדה, ומזהיר את המשתמשים כי המכשירים שלהם נגועים, ומעודד אותם להוריד אפליקציות נוספות שעלולות להיות זדוניות גם הן.
מומחים טוענים כי הקמפיין יכול להיות עבודה של קבוצה אחת של עברייני סייבר או מספר תוקפים המשתמשים בכלי פיתוח משותף, הנמכר לעתים קרובות בשווקים שחורים. ההפצה של התוכנה נשלטת בקפידה, עם מספר חשבונות מפתחים המשמשים להקטנת הסיכון לזיהוי.
על אף שגוגל הסירה את האפליקציות המושפעות, ההוצאה הבלתי-פוסקת של וריאנטים חדשים מדגישה את האופי המתפתח של תוכנות זדוניות לנייד ואת החשיבות של ערנות בעת הורדת אפליקציות.
