Οι ερευνητές της ESET ανακάλυψαν μια εκστρατεία με οκτώ εκατομμύρια λήψεις adware, που υπήρχε στο Google Play εδώ και περίπου ένα χρόνο.
Η οικογένεια malware ανιχνεύεται ως Android/AdDisplay.Ashas από την ESET.
Η ομάδα των ερευνητών κατάφερε να εντοπίσει τον developer του κακόβουλου λογισμικού και να ανακαλύψει και άλλες εφαρμογές γεμάτες adware. «Εντοπίσαμε 42 εφαρμογές στο Google Play που ανήκουν σε αυτήν την εκστρατεία adware, 21 από τις οποίες βρίσκονταν ακόμη στο κατάστημα τη χρονική περίοδο που έγινε η ανακάλυψη. Η ομάδα ασφαλείας της Google τις αφαίρεσε όλες βασιζόμενη στην αναφορά μας. Ωστόσο, εξακολουθούν να είναι διαθέσιμες σε καταστήματα εφαρμογών τρίτων», λέει ο Lukáš Štefanko, malware researcher της ESET.
Οι εφαρμογές δρουν ως adware και παράλληλα προσφέρουν τη λειτουργικότητα που υπόσχονται – λήψη βίντεο, παιχνίδια και ραδιόφωνο, μεταξύ άλλων. «Η λειτουργικότητα του adware είναι η ίδια σε όλες τις εφαρμογές που αναλύσαμε», αναφέρει ο Štefanko.
Οι εφαρμογές χρησιμοποιούν αρκετά τεχνάσματα για να εγκατασταθούν στις συσκευές των χρηστών παραμένοντας αόρατες: αναζητούν το μηχανισμό δοκιμών ασφαλείας του Google Play, καθυστερούν να εμφανίσουν διαφημίσεις για αρκετό διάστημα μετά το ξεκλείδωμα της συσκευής και κρύβουν τα εικονίδια δημιουργώντας παράλληλα συντομεύσεις για αυτά.
Οι διαφημίσεις από το adware εμφανίζονται σε πλήρη οθόνη. Αν ο χρήστης θέλει να ελέγξει ποια εφαρμογή ευθύνεται για την εμφάνιση της διαφήμισης, η εφαρμογή μιμείται το Facebook ή το Google. «Το adware αντιγράφει αυτές τις δύο εφαρμογές για να φαίνεται αυθεντικό και να μην κινήσει υποψίες – και έτσι παραμένει στη συσκευή όσο το δυνατόν περισσότερο», εξηγεί ο Štefanko.
Ένα άλλο ενδιαφέρον στοιχείο είναι ότι η οικογένεια adware Ashas έχει αποκρύψει τον κωδικό της κάτω από το όνομα πακέτου com.google.xxx. «Εμφανίζεται ότι ανήκει σε μια αυθεντική υπηρεσία της Google και έτσι μπορεί να αποφύγει τον έλεγχο. Θέλοντας να γλιτώσουν πόρους, κάποιοι μηχανισμοί ανίχνευσης και sandboxes μπορεί να κατατάξουν σε whitelist τέτοια ονόματα πακέτων», εξηγεί ο Štefanko.
Κατά την ανάλυση των εφαρμογών, οι ερευνητές της ESET διαπίστωσαν ότι ο developer άφησε πίσω του πολλά ίχνη. Χρησιμοποιώντας πληροφορίες ανοιχτού κώδικα, τον εντόπισαν και ταυτοποίησαν ότι του ανήκει ο server C&C και ότι ευθύνεται για την εκστρατεία. Ο Štefanko σημειώνει ότι «η εξακρίβωση της ταυτότητας του developer προέκυψε όσο αναζητούσαμε περαιτέρω κακόβουλα προγράμματα και εκστρατείες»
Παρόλο που το adware δεν είναι τόσο επιβλαβές όσο άλλες μορφές κακόβουλου λογισμικού, το γεγονός ότι μπορεί να εισχωρήσει τόσο εύκολα στο επίσημο κατάστημα εφαρμογών της πλατφόρμας Android είναι ανησυχητικό. «Οι χρήστες θα πρέπει να προστατεύουν τις συσκευές τους ακολουθώντας τις βασικές αρχές ασφάλειας του κυβερνοχώρου και να χρησιμοποιούν μία αξιόπιστη λύση ασφαλείας», συνιστά ο Štefanko της ESET.