Οι ερευνητές της ESET ανακάλυψαν μια εκστρατεία
με οκτώ εκατομμύρια λήψεις adware, που υπήρχε
στο Google Play εδώ και περίπου ένα χρόνο. Η
οικογένεια malware ανιχνεύεται ως Android/AdDisplay.Ashas
από την ESET.
Η ομάδα των ερευνητών
κατάφερε να εντοπίσει
τον developer του
κακόβουλου λογισμικού
και να ανακαλύψει και
άλλες εφαρμογές γεμάτες
adware. «Εντοπίσαμε
42 εφαρμογές στο Google
Play που ανήκουν σε
αυτήν την εκστρατεία
adware, 21 από τις
οποίες βρίσκονταν ακόμη
στο κατάστημα τη χρονική
περίοδο που έγινε η
ανακάλυψη. Η ομάδα
ασφαλείας της Google τις
αφαίρεσε όλες βασιζόμενη
στην αναφορά μας. Ωστόσο,
εξακολουθούν να είναι
διαθέσιμες σε
καταστήματα εφαρμογών
τρίτων», λέει
ο Lukáš Štefanko,
malware researcher της
ESET.
Οι εφαρμογές δρουν ως
adware και παράλληλα
προσφέρουν τη
λειτουργικότητα που
υπόσχονται – λήψη βίντεο,
παιχνίδια και ραδιόφωνο,
μεταξύ άλλων. «Η
λειτουργικότητα του
adware είναι η ίδια σε
όλες τις εφαρμογές που
αναλύσαμε», αναφέρει
ο Štefanko.
Οι εφαρμογές
χρησιμοποιούν αρκετά
τεχνάσματα για να
εγκατασταθούν στις
συσκευές των χρηστών
παραμένοντας αόρατες:
αναζητούν το μηχανισμό
δοκιμών ασφαλείας του
Google Play, καθυστερούν
να εμφανίσουν
διαφημίσεις για αρκετό
διάστημα μετά το
ξεκλείδωμα της συσκευής
και κρύβουν τα εικονίδια
δημιουργώντας παράλληλα
συντομεύσεις για αυτά.
Οι διαφημίσεις από το
adware εμφανίζονται σε
πλήρη οθόνη. Αν ο
χρήστης θέλει να ελέγξει
ποια εφαρμογή ευθύνεται
για την εμφάνιση της
διαφήμισης, η εφαρμογή
μιμείται το Facebook ή
το Google. «Το
adware αντιγράφει αυτές
τις δύο εφαρμογές για να
φαίνεται αυθεντικό και
να μην κινήσει υποψίες –
και έτσι παραμένει στη
συσκευή όσο το δυνατόν
περισσότερο», εξηγεί
ο Štefanko.
Ένα άλλο ενδιαφέρον
στοιχείο είναι ότι η
οικογένεια adware Ashas
έχει αποκρύψει τον
κωδικό της κάτω από το
όνομα πακέτου
com.google.xxx. «Εμφανίζεται
ότι ανήκει σε μια
αυθεντική υπηρεσία της
Google και έτσι μπορεί
να αποφύγει τον έλεγχο.
Θέλοντας να γλιτώσουν
πόρους, κάποιοι
μηχανισμοί ανίχνευσης
και sandboxes μπορεί να
κατατάξουν σε whitelist
τέτοια ονόματα πακέτων», εξηγεί
ο Štefanko.
Κατά την ανάλυση των
εφαρμογών, οι ερευνητές
της ESET διαπίστωσαν ότι
ο developer άφησε πίσω
του πολλά ίχνη.
Χρησιμοποιώντας
πληροφορίες ανοιχτού
κώδικα, τον εντόπισαν
και ταυτοποίησαν ότι
του ανήκει ο server C&C
και ότι ευθύνεται για
την εκστρατεία. Ο
Štefanko σημειώνει ότι «η
εξακρίβωση της
ταυτότητας του developer
προέκυψε όσο
αναζητούσαμε περαιτέρω
κακόβουλα προγράμματα
και εκστρατείες»
Παρόλο που το adware δεν
είναι τόσο επιβλαβές όσο
άλλες μορφές κακόβουλου
λογισμικού, το γεγονός
ότι μπορεί να εισχωρήσει
τόσο εύκολα στο επίσημο
κατάστημα εφαρμογών της
πλατφόρμας Android είναι
ανησυχητικό. «Οι
χρήστες θα πρέπει να
προστατεύουν τις
συσκευές τους
ακολουθώντας τις βασικές
αρχές ασφάλειας του
κυβερνοχώρου και να
χρησιμοποιούν μία
αξιόπιστη λύση ασφαλείας», συνιστά
ο Štefanko της ESET.
Greek Finance Forum
Σχόλια Χρηστών
Trading
σε ελληνικές μετοχές μέσω
της Πλατφόρμας Συναλλαγών Plus 500 (Κάντε Click και
Κατεβάστε την μοναδική πλατφόρμα συναλλαγών, χωρίς καμία
οικονομική υποχρέωση, περιλαμβάνει και λογαριασμό "επίδειξης"
- Demo).