De bedreigingsactoren achter een nieuw ontdekte kwaadaardige advertentie-app-operatie zijn minstens sinds 2019 actief, maar onderzoekers die hun evolutie volgen melden dat de groep geavanceerder is geworden en zich verder heeft uitgebreid dan de eerdere Android-specifieke aanvallen naar het iOS-ecosysteem.
Volgens onderzoekers van het Satori-onderzoeksteam van Human Security omvatte de nieuwste campagne 80 Android-apps die op de loer lagen in de Google Play Store en, met name, 9 in de Apple App Store. Alles bij elkaar meldde het team dat de kwaadaardige applicaties minstens 13 miljoen keer zijn gedownload.
Eenmaal gedownload, de kwaadaardige applicaties andere apps vervalsen om digitale advertentieweergaven te genereren, verborgen advertenties afspelen die de gebruiker niet kon zien om frauduleuze weergaven te krijgen, en zelfs legitieme advertentieklikken bijhouden om het vermogen van de groep om ze later overtuigender te vervalsen aan te scherpen.
Het onderzoeksteam, dat de apps heeft gemarkeerd voor verwijdering uit de officiรซle winkels, noemt deze nieuwste versie van de aanvalsgroep Scylla. De vroegste versie van de groep heette Poseidon en vervolgens Charybdis. Scylla is de derde aanvalsgolf van de bedreigingsactoren, legde het Human-team in hun rapport uit.
โDe aankondiging van vandaag over de ontwrichting van Scylla โ vernoemd naar de kleindochter van Poseidon โ weerspiegelt een nieuwe evolutie van de bedreigingsactoren achter het planโ, zei het Human-team over de vondst. โTerwijl de operaties van Poseidon en Charybdis zich volledig concentreerden op Android-apps, heeft het Satori-team bewijs gevonden dat Scylla zich ook richt op iOS-apps en de aanval heeft uitgebreid naar andere delen van het digitale reclame-ecosysteem.โ
Human Security werkte samen met Google en Apple om de kwaadaardige applicaties te verwijderen en blijft samenwerken met ontwikkelaars van advertentiesoftware-ontwikkelkits om de gevolgen van de campagne te verzachten.
โDeze tactieken, gecombineerd met de verduisteringstechnieken die voor het eerst werden waargenomen tijdens de Charybdis-operatie, demonstreren de toegenomen verfijning van de dreigingsactoren achter Scyllaโ, voegde het Human-team eraan toe. "Dit is een lopend aanval, en gebruikers moeten de lijst met apps in het rapport raadplegen en overwegen deze van alle apparaten te verwijderen.
