Android-apper med mindre enn edle hensikter begynner å bli tallrike, og sikkerhetsforskere melder stadig om nye oppdagelser. Nå har vi fått nok en ladning av apper du nok gjør best i å slette fra enhetene dine, melder blant andre nettstedet TechCrunch.
Sikkerhetsselskapet ESET har funnet et knippe apper på Google Play som skal ha blitt brukt til en årelang adware-kampanje. Appene det dreier seg er blitt lastet ned rundt åtte millioner ganger og teller til sammen 42 stykker.
Sender informasjon til C&C-server
Samtlige av appene skal ha blitt fjernet av Google etter at ESET gjorde dem oppmerksomme på funnene, men noen av programmene skal ifølge sikkerhetsselskapet fremdeles være tilgjengelige i andre app-butikker.
Applikasjonene, som dekker flere ulike kategorier, har i utgangspunktet normal funksjonalitet, men benyttes til aggressiv visning av annonser i fullskjermmodus på brukernes enheter.
Når appene startes opp opprettes kommunikasjon med en C&C-server som mottar data om den infiserte enheten, slik som enhetstype, OS-versjon, språk, antall installerte apper, lagringsplass, batteristatus og hvorvidt utviklermodus er aktivert.
Android-apper med millioner av nedlastinger kom med ekstremt aggressiv og «smart» adware
Basert på denne informasjonen mottar appen konfigurasjonsdata fra C&C-serveren, som igjen brukes til å vise annonser. Programmene bruker et knippe triks som gjør dem vanskelige å oppdage og fjerne fra mobilen.
Tidsintervaller og skjulte ikoner
Appene er blant annet i stand til å vite om den blir testet av Google Plays sikkerhetsmekanismer ved å sjekke hvorvidt IP-adressen til enheten er koblet til noen av de kjente IP-adressene for Googles servere. Dersom dette er tilfelle vil ikke adware-lasten utløses.
I tillegg kan appene vise annonser med bestemte tidsintervaller, slik at annonsene vises utenfor det tidsrommet det tar å gjennomføre en test, noe som fører til at det ikke oppdages uønsket aktivitet. Funksjonen gjør også at visningen av annonsene kan utsettes lenge, som gjør det vanskelig for brukeren å koble annonsene til en bestemt app.
Appene er også i stand til å gjemme ikonene sine og i stedet opprette en snarvei, som betyr at brukeren lett ender opp med å kun slette snarveien dersom man forsøker å slette appen, mens selve appen fortsetter å kjøre i bakgrunnen.
Skadelige apper med over 330 millioner nedlastinger ble funnet på Google Play i september – dette er de største truslene
En annen sleip teknikk appene bruker for å unngå å bli oppdaget er å etterligne de legitime Facebook- eller Google-ikonene når brukeren benytter «siste apper»-funksjonen for å sjekke hvilken app som viser annonsene.
Appene har en del likhetstrekk med den aggressive adware-familien som sikkerhetsselskapet Trend Micro rapporterte om i august i år, som hadde mange av de samme funksjonene.
Mer informasjon om den nye adware-kampanjen kan du finne hos ESET.