Специалисты по кибербезопасности из компаний Bitdefender и Integral Ad Science (IAS) раскрыли масштабную вредоносную кампанию Vapor, затронувшую более 60 миллионов пользователей Android-устройств. Злоумышленники распространили через Google Play Store свыше 330 вредоносных приложений, нацеленных на показ навязчивой рекламы и кражу конфиденциальных данных.
Механизмы распространения и маскировки вредоносного ПО
Злоумышленники использовали продвинутые техники для обхода защитных механизмов Google Play. Ключевой метод, названный экспертами «версионирование», заключался в публикации изначально безопасных приложений с последующим внедрением вредоносного кода через обновления. Малварь маскировалась под популярные утилиты, включая QR-сканеры и фитнес-приложения.
Технические особенности вредоносного ПО
После установки приложения демонстрировали сложное вредоносное поведение: отключали отображение своих иконок в системе, обходили ограничения SYSTEM_ALERT_WINDOW в Android 13, создавали полноэкранные оверлеи с рекламой и удаляли себя из списка недавних задач. Особую опасность представляла функциональность фишинга, направленная на кражу банковских данных и учетных записей пользователей.
Масштаб и текущий статус угрозы
По данным исследователей, кампания стартовала в апреле 2024 года и достигла пика активности в начале 2025 года. Только за октябрь-ноябрь 2024 года злоумышленники загрузили более 140 вредоносных приложений. Ежедневно генерировалось свыше 200 миллионов рекламных запросов, что указывает на высокую прибыльность схемы для киберпреступников.
Несмотря на то что большинство вредоносных приложений уже удалено из Google Play, эксперты Bitdefender подтверждают продолжающуюся активность кампании. По состоянию на март 2025 года около 15 вредоносных приложений все еще доступны для загрузки. Специалисты рекомендуют пользователям тщательно проверять устанавливаемые приложения, обращать внимание на подозрительное поведение и своевременно удалять неиспользуемое ПО для минимизации рисков компрометации личных данных.
