Sicherheitsforscher von ESET haben mal wieder 42 Adware-Apps für Android im Google Playstore gefunden. Diese ließen sich auf einen vietnamesischen Entwickler zurückführen.
Anzeige
ESET habt das Ganze in diesem Beitrag veröffentlicht. Deren Sicherheitsforscher haben eine umfangreiche Adware-Kampagne entdeckt, die seit etwa einem Jahr läuft. Die beteiligten Apps wurden allein von Google Play acht Millionen Mal installiert.
Es wurden 42 Apps auf Google Play als Teil der seit Juli 2018 laufenden Kampagne identifiziert. Von diesen 42 Apps waren 21 zum Zeitpunkt der Entdeckung noch verfügbar. Die ESET-Sicherheitsforscher haben die Apps an das Google-Sicherheitsteam gemeldet und sie wurden schnell entfernt. Die Apps sind jedoch weiterhin in App-Stores von Drittanbietern verfügbar. ESET erkennt diese Werbesoftware als Android/AdDisplay.Ashas.
Alle Apps bieten die versprochene Funktionalität, enthalten aber zusätzliche Adware. Nach dem Start beginnt die App mit ihrem C&C-Server (dessen IP-Adresse in der App base64-kodiert ist) zu kommunizieren. Es sendet "Home"-Kenndaten über das betroffene Gerät: Gerätetyp, Betriebssystemversion, Sprache, Anzahl der installierten Anwendungen, freier Speicherplatz, Batteriestatus, ob das Gerät gerootet ist und der Entwicklermodus aktiviert ist, und ob Facebook und FB Messenger installiert sind.
Die App empfängt dann Konfigurationsdaten vom C&C-Server, die für die Anzeige von Anzeigen sowie für Stealth und Resilienz benötigt werden. Zurs Tarnung verwendet der Entwickler der Adware eine Reihe von Tricks.
Zunächst versucht die bösartige Anwendung festzustellen, ob sie vom Sicherheitsmechanismus von Google Play getestet wird. Zu diesem Zweck erhält die App vom C&C-Server das isGoogleIp-Flag, das anzeigt, ob die IP-Adresse des betroffenen Geräts in den Bereich der bekannten IP-Adressen für Google-Server fällt. Wenn der Server dieses Flag als positiv zurückgibt, löst die App die Adware-Payload nicht aus.
Zweitens kann die App eine benutzerdefinierte Verzögerung bis zur Anzeige der ersten Ads festlegen. Bei den Beispielen, die ESET-Sicherheitsforscher gesehen haben, wurde die Konfiguration so eingestellt, dass die Anzeige der ersten Anzeige um 24 Minuten nach dem Entsperren des Geräts verzögert wird. Diese Verzögerung bedeutet, dass ein typischer Testvorgang, der weniger als 10 Minuten dauert, kein unerwünschtes Verhalten erkennt. Je länger die Verzögerung, desto geringer ist das Risiko, dass der Nutzer die unerwünschten Anzeigen mit einer bestimmten App verknüpft.
Drittens kann die App (basierend auf der Serverantwort ) auch ihr Symbol verstecken und stattdessen eine Verknüpfung erstellen. Wenn ein typischer Benutzer versucht, die bösartige Anwendung loszuwerden, besteht die Möglichkeit, dass nur die Verknüpfung entfernt wird. Die App läuft dann ohne Wissen des Benutzers im Hintergrund weiter. Diese Stealth-Technik erfreut sich zunehmender Beliebtheit bei Adware-bezogenen Bedrohungen, die über Google Play verbreitet werden.
Anzeige
Anhand von Open-Source-Informationen haben die Sicherheitsforscher den Entwickler der Adware aufgespürt. Dieser wurde auch als Betreiber der Adware-Kampagne und Eigentümer des C&C-Servers identifiziert. Es handelt sich um einen Studenten aus Vietnam. Weitere Details sind im ESET-Beitrag oder bei The Hacker News zu finden.
2015
