Компанія ESET — лідер у галузі інформаційної безпеки — виявила 42 рекламні програми в Google Play, які були завантажені понад 8 мільйонів разів. Поряд з наданням обіцяного функціоналу, зокрема завантаження відео, гри чи радіо, ці шкідливі додатки відображають рекламу та збирають інформацію про пристрій жертви.
Продукти ESET виявляють загрози як Android/AdDisplay.Ashas. Також дослідникам ESET вдалося відстежити їх розробника та виявити додаткове програмне забезпечення, завантажене рекламними програмами.
«Ми виявили, що до цієї кампанії належать 42 додатки в Google Play, 21 з них був активний на момент виявлення. Після надання цієї інформації спеціалістам з безпеки Google додатки були видалені з офіційного магазину. Однак вони все ще доступні в сторонніх магазинах», — розповідає Лукаш Штефанко, дослідник ESET.
Для приховування власної діяльності рекламні програми використовують витончені техніки. Наприклад, вони можуть відображати спливаючі оголошення з певною затримкою після розблокування пристрою, щоб уникнути виявлення під час процедур перевірки.
Також ці додатки можуть приховувати свою піктограму та створювати ярлик замість неї. Тому спробувавши видалити шкідливе програмне забезпечення, користувач просто видалить ярлик. Сама ж рекламна програма продовжить працювати у фоновому режимі без відома жертви. Цей прихований прийом часто використовується рекламними програмами, які поширюються через Google Play.
Крім цього, додатки можуть запускати рекламу нібито від імені Facebook або Google. «Шкідливе рекламне програмне забезпечення імітує ці два додатки, щоб уникнути підозр та залишатися на пристрої жертви якомога довше», — розповідає Лукаш Штефанко.
Іншою особливістю є те, що сімейство рекламних програм Ashas приховує свій код під назвою пакета com.google.xxx. «Маскування під легітимну службу Google може допомогти уникнути перевірки. Оскільки деякі механізми виявлення та пісочниці можуть створювати «білі» списки таких назв пакетів для економії ресурсів», — пояснює дослідник.
Виявлення рекламних програм Android/AdDisplay.Ashas на пристроях Android
Під час аналізу загроз спеціалісти ESET змогли відстежити розробника рекламного ПЗ, який також є оператором кампанії та власником командного сервера (C&C). За словами дослідників, встановлення особи розробника було другорядною інформацією, виявленою в процесі дослідження цих додатків.
Рекламний вірус: особливості та способи захисту
Хоча рекламне програмне забезпечення не становить значної небезпеки, порівняно з іншими формами шкідливого програмного забезпечення, легкість проникнення його в офіційний магазин додатків викликає занепокоєння. Зокрема після інфікування пристрою жертви такі загрози можуть:
- відображати користувачам нав'язливу рекламу;
- витрачати ресурси акумулятора пристрою;
- генерувати більший мережевий трафік;
- збирати особисту інформацію жертв;
- приховувати свою присутність на інфікованому пристрої;
- отримувати дохід для свого оператора без взаємодії з користувачем.
«Щоб запобігти інфікуванню власних пристроїв подібними загрозами, користувачі повинні дотримуватися основних правил безпеки в мережі Інтернет та використовувати якісне рішення для захисту онлайн», — рекомендує Лукаш Штефанко.
Ознайомитися з деталями кампанії та переглянути індикатори компрометації можна за посиланням.