Lukas Stefanko, malware researcher z ESET, specjalizujący się w analizie zagrożeń mobilnych, zidentyfikował kampanię złośliwych aplikacji w Sklepie Play, które były oferowane od lipca 2018 roku do połowy października 2019. Wspomniane programy, rozpoznane jako Android/AdDisplay.Ashas, służyły m.in. do pobierania wideo z YouTube’a, zapisywania treści z Instagrama czy słuchania radia.
Po uruchomieniu aplikacje wysyłają na serwer informacje o urządzeniu, na którym zostały zainstalowane, w tym wersję systemu operacyjnego, wolne miejsce w pamięci telefonu, stan baterii oraz weryfikują czy zainstalowany jest Facebook i Messenger. Na bazie tych danych dostosowują sposób wyświetlania reklam, przy okazji uniemożliwiając swoje odinstalowanie. Na ekranie wyświetlana jest tylko ikona skrótu, więc opcja Usuń powoduje jedynie usunięcie ikony z pulpitu. Jednocześnie reklamy wyświetlają się w trybie pełnoekranowym i jeśli użytkownik wyświetli listę uruchomionych aplikacji, to zobaczy jedynie aktywnego Facebooka lub Google, pod które te potrafią się podszywać.
Eksperci z ESET, korzystając z informacji zamieszczonych w kodzie źródłowym aplikacji, dotarli do danych ich twórcy. Weryfikując dane osoby rejestrującej domenę, kraj oraz adres e-mail, zidentyfikowali listę studentów Uniwersytetu w Hanoi, w Wietnamie. Okazało się, że dokument w Excelu, do którego dotarli, zawierał numer telefonu programisty oraz jego identyfikator z uczelni, który pozwolił analitykom z ESET poznać nawet oceny cyberprzestępcy. Następnie dotarli do repozytorium programisty na Githubie, jego kanału na YouTubie oraz profilu na Facebooku.
Aplikacje mogą cały czas funkcjonować na waszych smartfonach, dlatego warto pomyśleć o odpowiednim programie antywirusowym.
[offers keywords=”antywirus+android”]