Trusselaktørene bak en nyoppdaget ondsinnet reklameapp-operasjon har vært aktive siden minst 2019, men forskere som sporer utviklingen deres rapporterer at gruppen har blitt mer sofistikert, og utvidet utover de tidligere Android-spesifikke angrepene inn i iOS-økosystemet.
Den siste kampanjen, ifølge forskere med Human Securitys Satori-forskningsteam, inkluderte 80 Android-apper som lurte i Google Play-butikken og, spesielt, 9 i Apple App Store. Til sammen rapporterte teamet at de skadelige applikasjonene ble lastet ned minst 13 millioner ganger.
Når den er lastet ned, vil ondsinnede applikasjoner forfalske andre apper for å samle digitale annonsevisninger, spille av skjulte annonser brukeren ikke kunne se for å få falske visninger, og til og med spore legitime annonseklikk for å finpusse gruppens evne til å forfalske dem mer overbevisende senere.
Forskerteamet, som flagget appene for fjerning fra de offisielle butikkene, kaller denne siste iterasjonen av angrepsgruppen Scylla. Den tidligste versjonen av gruppen ble kalt Poseidon, deretter Charybdis. Scylla er den tredje bølgen av angrep fra trusselaktørene, forklarte Human-teamet i sin rapport.
"Dagens kunngjøring om forstyrrelsen av Scylla - oppkalt etter barnebarnet til Poseidon - reflekterer en ny utvikling fra trusselaktørene bak ordningen," sa Human-teamet om funnet. "Mens Poseidon- og Charybdis-operasjonene sentrert utelukkende om Android-apper, har Satori-teamet funnet bevis på at Scylla i tillegg retter seg mot iOS-apper og har utvidet angrepet til andre deler av det digitale reklameøkosystemet."
Human Security samarbeidet med Google og Apple for å fjerne de ondsinnede applikasjonene og fortsetter å jobbe med utviklere av reklameprogramvare for å redusere nedfallet av kampanjen.
"Disse taktikkene, kombinert med obfuskasjonsteknikkene som først ble observert i Charybdis-operasjonen, demonstrerer den økte sofistikeringen til trusselaktørene bak Scylla," la Human-teamet til. "Dette er en pågående angrep, og brukere bør se listen over apper i rapporten og vurdere å fjerne dem fra alle enheter."
