Eset обнаружила рекламное ПО для Android, от которого пострадали миллионы пользователей

Международная антивирусная компания Eset обнаружила в Google Play продолжительную вредоносную кибератаку, жертвами которой стали миллионы пользователей Android.

«Мы обнаружили 42 приложения в магазине Google Play, которые относятся к данной кампании по распространению нежелательного рекламного ПО; половина из них все еще была доступна на момент обнаружения. Отвечающая за безопасность команда из Google удалила эти приложения после нашего уведомления, но они все еще доступны в сторонних магазинах», — сообщает Лукас Стефанко, эксперт по безопасности Eset.

Приложения предоставляют обещанные возможности — простые игры, онлайн-радио, загрузку видеороликов, — но также работают как рекламное ПО, с общим для всех функционалом. Суммарно эти вредоносные приложения загрузили 8 млн раз за последний год.

Решения Eset успешно определяют угрозу как Android/AdDisplay.Ashas.


Топ-5 стран, пострадавших от семейства Ashas

Приложения используют различные трюки для того, чтобы попасть на устройства жертв и остаться незамеченными: например, не показывают рекламу до тех пор, пока девайс не будет разблокирован. Если пользователь попытается выяснить, какое приложение запускает показ рекламы, то программа будет выдавать себя за Facebook или Google.

«Рекламное ПО притворяется одним из этих двух приложений, чтобы не вызвать подозрений и остаться на зараженном устройстве как можно дольше», — объясняет Стефанко.

Также интересно то, как семейство Ashas прячет свой код под именем библиотеки com.google.xxx.

«Притворившись частью легитимного сервиса Google, приложение стремится избежать тщательной проверки. Некоторые механизмы обнаружения могут вносить подобные библиотеки в белый список ради экономии ресурсов», — говорит Лукас Стефанко.

В процессе анализа приложений эксперты ESET заметили, что создатель вредоносного ПО оставил множество следов. Исследователи отследили разработчика при помощи информации из открытых источников. Он оказался оператором кампании и владельцем командного сервера.

«Установление личности разработчика — побочный эффект нашей работы по выявлению вредоносного ПО», — говорит Лукас.