Cercetătorii în securitate cibernetică avertizează asupra unei noi tendințe periculoase în ecosistemul Android: aplicațiile de tip dropper, folosite în mod tradițional pentru a livra troieni bancari, au început să distribuie și forme mai simple de malware, precum spyware sau programe care fură SMS-uri.
Potrivit unui raport publicat de ThreatFabric săptămâna trecută, aceste campanii sunt răspândite prin aplicații care se dau drept aplicații oficiale guvernamentale sau bancare, în special în India și în alte regiuni din Asia.
Cum încearcă atacatorii să ocolească protecțiile Google
Schimbarea tacticii are loc pe fondul noilor măsuri de securitate testate de Google în piețe precum Singapore, Thailanda, Brazilia și India.
Prin așa-numitul Pilot Program, compania blochează încă din faza de instalare aplicațiile suspecte care cer permisiuni sensibile, cum ar fi accesul la SMS-uri sau la serviciile de accesibilitate, setări frecvent abuzate de atacatori.
Pentru a evita aceste filtre, dezvoltatorii de malware își ascund codul malițios într-o aplicație dropper care, la prima vedere, nu solicită permisiuni riscante.
Aplicația afișează doar un ecran de tip „Update”, trecând astfel de scanările automate. Abia când utilizatorul apasă butonul, dropper-ul descarcă dintr-un server extern sau decriptează pachetul real de malware, care apoi solicită permisiunile necesare pentru a-și îndeplini scopul.
Un exemplu recent este RewardDropMiner, o aplicație dropper care a fost folosită pentru a livra spyware, dar și un miner de criptomonede Monero ce putea fi activat de la distanță. Printre aplicațiile false răspândite prin acest mecanism se numără:
- PM YOJANA 2025 (com.fluvdp.hrzmkgi)
- RTO Challan (com.epr.fnroyex)
- SBI Online (com.qmwownic.eqmff)
- Axis Card (com.tolqppj.yqmrlytfzrxa)
Alte droppere detectate includ SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper și TiramisuDropper.
Google a declarat pentru The Hacker News că nu a identificat aplicații de acest tip distribuite prin Play Store și că sistemul Play Protect detecta deja aceste amenințări înainte de raportul ThreatFabric.
Totuși, compania recunoaște că protecțiile nu sunt perfecte: dacă utilizatorul acceptă manual instalarea, aplicația malițioasă poate trece mai departe.
Reclame false pe Facebook răspândesc troieni bancari
Pe lângă droppere, experții de la Bitdefender Labs au descoperit și o altă campanie de amploare. Atacatorii folosesc reclame malițioase pe Facebook pentru a promova o versiune falsă, „premium și gratuită”, a aplicației TradingView pentru Android.
În realitate, pachetul instalează o variantă nouă a troianului bancar Brokewell, capabil să spioneze utilizatorul, să controleze dispozitivul și să fure date sensibile.
De la lansarea campaniei, pe 22 iulie 2025, peste 75 de reclame false au vizat utilizatori din Uniunea Europeană, atingând zeci de mii de victime.
Cercetătorii avertizează că această operațiune de malvertising nu se limitează la Android: atacuri similare au fost observate și împotriva utilizatorilor de Windows, prin aplicații contrafăcute cu tematică financiară și cripto.