Nieuwe adware voor Android ontdekt die miljoenen gebruikers bedreigt

Haar onderzoekers ESET ontdekte een campagne met acht miljoen downloads adware, die bestond in Google Play voor ongeveer een jaar.

Η  malware-familie wordt gedetecteerd als Android / AdDisplay.Ashas door ESET. Het team van onderzoekers slaagde erin de malware-ontwikkelaar te lokaliseren en andere applicaties vol adware te ontdekken.

«We vonden 42 Google Play-applicaties in deze adware-campagne, waarvan er 21 nog in de winkel waren op het moment van ontdekking. Het beveiligingsteam van Google heeft ze allemaal verwijderd op basis van ons rapport. Ze zijn echter nog steeds beschikbaar in applicatiewinkels van derdenZegt Lukáš ftefanko, malware-onderzoeker van ESET.
De applicaties fungeren als adware en bieden tegelijkertijd de functionaliteit die ze beloven - onder meer videodownload, games en radio. "De functionaliteit van adware is hetzelfde in alle applicaties die we hebben geanalyseerd", zegt Štefanko.

De applicaties gebruiken verschillende trucs om zichzelf op de apparaten van gebruikers te installeren terwijl ze onzichtbaar blijven: ze zoeken naar het beveiligingstestmechanisme van Google Play, stellen de weergave van advertenties lange tijd uit nadat het apparaat is ontgrendeld en verbergen de pictogrammen terwijl ze er snelkoppelingen voor maken.

Adware-advertenties verschijnen op volledig scherm. Als de gebruiker wil bepalen welke applicatie verantwoordelijk is voor de weergave van de advertentie, imiteert de applicatie Facebook of Google. «Adware kopieert deze twee applicaties om ze er authentiek en niet verdacht uit te laten zien - zodat het zo lang mogelijk op het apparaat blijft", legt Štefanko uit.

Een ander interessant feit is dat de Ashas adware-familie zijn wachtwoord heeft verborgen onder de pakketnaam com.google.xxx. "Het lijkt een echte Google-service te zijn, dus het kan de controle ontwijken. "Om middelen te besparen, kunnen sommige crawlers en sandboxen dergelijke pakketnamen op de witte lijst zetten", legt Štefanko uit.

Tijdens de analyse van de applicaties ontdekten de ESET-onderzoekers dat de ontwikkelaar veel sporen achterliet. Met behulp van open source-informatie lokaliseerden ze hem en identificeerden ze dat hij de eigenaar was van de C&C-server en dat hij verantwoordelijk was voor de campagne. Štefanko merkt op dat "de identiteit van de ontwikkelaar aan het licht kwam terwijl we op zoek waren naar verdere kwaadaardige programma's en campagnes"

Hoewel adware niet zo schadelijk is als andere vormen van malware, is het zorgwekkend dat het gemakkelijk de officiële Android App Store kan binnendringen. "Gebruikers moeten hun apparaten beschermen door de basisprincipes van cyberbeveiliging te volgen en een betrouwbare beveiligingsoplossing te gebruiken", beveelt ESET Štefanko aan.

Bron