Rastrean desarrollador de adware para Android que afectaría a millones de usuarios

Rastrean desarrollador de adware para Android que afecta a millones de ususarios

Los investigadores de ESET descubrieron una campaña de adware activa desde hace un año en Google Play y rastrearon a su operador. Las aplicaciones involucradas, instaladas ocho millones de veces, usan varios trucos para no ser detectadas y para lograr persistencia.

Fueron 42 aplicaciones en Google Play pertenecientes a la campaña, que habían estado corriendo desde julio de 2018. De ellas, 21 todavía estaban disponibles en el momento del descubrimiento. Al reportar las aplicaciones al equipo de seguridad de Google, se eliminaron rápidamente. Sin embargo, las aplicaciones aún están disponibles en tiendas de aplicaciones de terceros. ESET detecta este adware, de manera colectiva, como Android/AdDisplay.Ashas.

Funcionalidad de Ashas:

Además de funcionar como adware, todas las aplicaciones proporcionan la funcionalidad que prometen. La funcionalidad del adware es la misma en todas las apps que se analizaron. Nota: el análisis de la funcionalidad a continuación describe una sola aplicación, pero se aplica a todas las aplicaciones de la familia Android/AdDisplay.Ashas.
Una vez iniciada, la aplicación comienza a comunicarse con su servidor C&C (cuya dirección IP está codificada en base64 en la aplicación) para enviar datos sobre el dispositivo afectado: tipo de dispositivo, versión del sistema operativo, idioma, número de aplicaciones instaladas, espacio de almacenamiento libre, estado de la batería, si el dispositivo está rooteado, si el “modo de desarrollador” está habilitado, y si Facebook y FB Messenger están instalados.
Primero, la aplicación maliciosa intenta determinar si está siendo probada por el mecanismo de seguridad de Google Play. Para este fin, la aplicación recibe del servidor de C&C el indicador isGoogleIp, que indica si la dirección IP del dispositivo afectado se encuentra dentro del rango de direcciones IP conocidas para los servidores de Google. Si el servidor devuelve este indicador como positivo, la aplicación no activará el payload del adware.
En segundo lugar, la aplicación puede establecer un retraso personalizado entre la visualización de anuncios. Las muestras que hemos visto tenían una configuración establecida para retrasar la visualización del primer anuncio 24 minutos después de que se desbloquea el dispositivo. Este retraso significa que un procedimiento de prueba típico, que lleva menos de 10 minutos, no detectará ningún comportamiento no deseado. Además, cuanto mayor sea el retraso, menor será el riesgo de que el usuario asocie los anuncios no deseados con una aplicación en particular.
En tercer lugar, según la respuesta del servidor, la aplicación también puede ocultar su icono y crear un acceso directo. Si un usuario típico intenta deshacerse de la aplicación maliciosa, es probable que solo se elimine el acceso directo y que la aplicación continúa ejecutándose en segundo plano sin el conocimiento del usuario. Esta técnica de ocultamiento ha ganado popularidad entre las amenazas relacionadas con adware distribuidas a través de Google Play.
Una vez que la aplicación maliciosa recibe sus datos de configuración, el dispositivo afectado está listo para mostrar anuncios según la elección del atacante; donde cada anuncio se despliega en pantalla completa. Si el usuario desea verificar qué aplicación es responsable del anuncio que se muestra, al presionar el botón “Aplicaciones recientes”, se utiliza otro truco: la aplicación muestra un icono de Facebook o Google, como se ve en la siguiente figura. El adware imita estas dos aplicaciones para parecer legítimas y evitar sospechas, y así permanecer en el dispositivo afectado el mayor tiempo posible.

Finalmente, la familia de adware Ashas tiene su código oculto bajo el nombre del paquete com.google.xxx. Este truco, haciéndose pasar por un servicio legítimo de Google, puede ayudar a evitar el escrutinio. Algunos mecanismos de detección y sandboxes pueden incluir en una lista blanca dichos nombres de paquetes, en un esfuerzo por evitar el desperdicio de recursos.

Más info: welivesecurity.com

Comments are closed.