Eset обнаружила рекламное ПО для Android, от которого пострадали миллионы пользователей
Международная антивирусная компания Eset обнаружила в Google Play продолжительную вредоносную кибератаку, жертвами которой стали миллионы пользователей Android.
«Мы обнаружили 42 приложения в магазине Google Play, которые относятся к данной кампании по распространению нежелательного рекламного ПО; половина из них все еще была доступна на момент обнаружения. Отвечающая за безопасность команда из Google удалила эти приложения после нашего уведомления, но они все еще доступны в сторонних магазинах», — сказал Лукас Стефанко, эксперт по безопасности Eset.
Приложения предоставляют обещанные возможности — простые игры, онлайн-радио, загрузку видеороликов, — но также работают как рекламное ПО, с общей для всех функциональностью. Суммарно эти вредоносные приложения загрузили 8 млн раз за последний год.
Решения Eset успешно определяют угрозу как Android/AdDisplay.Ashas.
Приложения используют различные трюки для того, чтобы попасть на устройства жертв и остаться незамеченными: например, не показывают рекламу до тех пор, пока девайс не будет разблокирован. Если пользователь попытается выяснить, какое приложение запускает показ рекламы, то программа будет выдавать себя за Facebook или Google.
«Рекламное ПО притворяется одним из этих двух приложений, чтобы не вызвать подозрений и остаться на зараженном устройстве как можно дольше», — сказал Стефанко.
Также интересно то, как семейство Ashas прячет свой код под именем библиотеки com.google.xxx.
«Притворившись частью легитимного сервиса Google, приложение стремится избежать тщательной проверки. Некоторые механизмы обнаружения могут вносить подобные библиотеки в белый список ради экономии ресурсов», — сказал Лукас Стефанко.
В процессе анализа приложений эксперты Eset заметили, что создатель вредоносного ПО оставил множество следов. Исследователи отследили разработчика при помощи информации из открытых источников. Он оказался оператором кампании и владельцем командного сервера.
«Установление личности разработчика — побочный эффект нашей работы по выявлению вредоносного ПО», — сказал Стефанко.