Hotaktörerna bakom en nyupptäckt skadlig reklamapp har varit aktiva sedan åtminstone 2019, men forskare som spårar deras utveckling rapporterar att gruppen har blivit mer sofistikerad och expanderat bortom sina tidigare Android-specifika attacker till iOS-ekosystemet.
Den senaste kampanjen, enligt forskare med Human Securitys Satori-forskarteam, inkluderade 80 Android-appar som lurar i Google Play-butiken och, framför allt, 9 i Apple App Store. Sammantaget rapporterade teamet att de skadliga applikationerna laddades ner minst 13 miljoner gånger.
När den har laddats ner, skadliga applikationer förfalska andra appar för att samla digitala annonsvisningar, spela upp dolda annonser som användaren inte kunde se för att få bedrägliga visningar och till och med spåra legitima annonsklick för att finslipa gruppens förmåga att förfalska dem mer övertygande senare.
Forskargruppen, som flaggade apparna för borttagning från de officiella butikerna, kallar denna senaste iteration av attackgruppen Scylla. Den tidigaste versionen av gruppen hette Poseidon, sedan Charybdis. Scylla är den tredje vågen av attacker från hotaktörerna, förklarade Human-teamet i sin rapport.
"Dagens tillkännagivande om störningen av Scylla - uppkallad efter barnbarnet till Poseidon - speglar en ny utveckling från hotaktörerna bakom schemat", sa Human-teamet om fyndet. "Medan Poseidon och Charybdis verksamhet helt koncentrerades på Android-appar, har Satoris team hittat bevis för att Scylla dessutom riktar sig mot iOS-appar och har utökat attacken till andra delar av det digitala reklamekosystemet."
Human Security samarbetade med Google och Apple för att ta bort de skadliga applikationerna och fortsätter att arbeta med utvecklare av reklammjukvaruutvecklingskit för att mildra kampanjens nedfall.
"Denna taktik, i kombination med fördunklingsteknikerna som först observerades i Charybdis-operationen, visar den ökade sofistikeringen hos hotaktörerna bakom Scylla," tillade Human-teamet. "Detta är en pågående attack, och användare bör konsultera listan över appar i rapporten och överväga att ta bort dem från alla enheter."
