Các tác nhân đe dọa đằng sau hoạt động ứng dụng quảng cáo độc hại mới được phát hiện đã hoạt động ít nhất từ năm 2019, nhưng các nhà nghiên cứu theo dõi quá trình phát triển của chúng cho biết nhóm này đã trở nên tinh vi hơn, mở rộng ra ngoài các cuộc tấn công dành riêng cho Android trước đây vào hệ sinh thái iOS.
Chiến dịch mới nhất, theo các nhà nghiên cứu thuộc nhóm nghiên cứu Satori của Human Security, bao gồm 80 Ứng dụng Android ẩn trong cửa hàng Google Play và đáng chú ý là 9 ứng dụng trong Apple App Store. Nhìn chung, nhóm báo cáo rằng các ứng dụng độc hại đã được tải xuống ít nhất 13 triệu lần.
Sau khi tải xuống, ứng dụng độc hại giả mạo các ứng dụng khác để tăng lượt xem quảng cáo kỹ thuật số, phát quảng cáo ẩn mà người dùng không thể nhìn thấy để có được lượt xem gian lận và thậm chí theo dõi các lần nhấp vào quảng cáo hợp pháp để trau dồi khả năng giả mạo chúng một cách thuyết phục hơn sau này của nhóm.
Nhóm nghiên cứu đã gắn cờ các ứng dụng cần xóa khỏi các cửa hàng chính thức, gọi đây là phiên bản mới nhất của nhóm tấn công Scylla. Phiên bản đầu tiên của nhóm được gọi là Poseidon, sau đó là Charybdis. Scylla là làn sóng tấn công thứ ba từ các tác nhân đe dọa, nhóm Human giải thích trong báo cáo của họ.
Nhóm Human cho biết về phát hiện này: “Thông báo ngày hôm nay về sự gián đoạn của Scylla - được đặt theo tên cháu gái của Poseidon - phản ánh một bước phát triển mới từ các tác nhân đe dọa đằng sau kế hoạch này”. “Trong khi các hoạt động của Poseidon và Charybdis tập trung hoàn toàn vào các ứng dụng Android, nhóm Satori đã tìm thấy bằng chứng cho thấy Scylla còn nhắm mục tiêu vào các ứng dụng iOS và đã mở rộng cuộc tấn công sang các phần khác của hệ sinh thái quảng cáo kỹ thuật số.”
Human Security đã làm việc với Google và Apple để loại bỏ các ứng dụng độc hại và đang tiếp tục làm việc với các nhà phát triển bộ công cụ phát triển phần mềm quảng cáo để giảm thiểu hậu quả của chiến dịch.
Nhóm Human cho biết thêm: “Những chiến thuật này, kết hợp với các kỹ thuật che giấu lần đầu tiên được quan sát trong hoạt động Charybdis, chứng tỏ mức độ tinh vi ngày càng tăng của các tác nhân đe dọa đằng sau Scylla”. "Đây là đang diễn ra tấn công và người dùng nên tham khảo danh sách ứng dụng trong báo cáo và cân nhắc xóa chúng khỏi tất cả các thiết bị.”
