Los investigadores de seguridad han detectado una campaña masiva de adware durante un año en la que las aplicaciones involucradas se instalaron en los dispositivos Android de los usuarios ocho millones de veces solo desde Google Play. La empresa eslovaca de seguridad de Internet ESET identificó 42 aplicaciones en Google Play como pertenecientes a la campaña, que se ejecutaba desde julio de 2018. De ellas, 21 todavía estaban disponibles en el momento del descubrimiento.
"Reportamos las aplicaciones al equipo de seguridad de Google y se eliminaron rápidamente. Sin embargo, las aplicaciones todavía están disponibles en tiendas de aplicaciones de terceros", dijeron los investigadores en un declaración el jueves.
Una vez iniciada, la aplicación familiar de software publicitario "Ashas" envió datos clave de "inicio" sobre el dispositivo afectado: tipo de dispositivo, versión del sistema operativo, idioma, número de aplicaciones instaladas, espacio de almacenamiento libre, estado de la batería, si el dispositivo está rooteado y el modo de desarrollador habilitado , y si Facebook y FB Messenger están instalados.
"La aplicación recibe datos de configuración del servidor del servidor de comando y control (C&C), necesarios para mostrar anuncios, y para el sigilo y la resistencia", dijo el investigador de seguridad Lukas Stefanko.
Una vez que un usuario instaló una aplicación infectada con adware, la aplicación mostrará anuncios de pantalla completa en la pantalla del dispositivo a intervalos.
Primero, la aplicación maliciosa intenta determinar si está siendo probada por el mecanismo de seguridad de Google Play.
Después de esquivar los servidores de Google, la aplicación maliciosa puede establecer un retraso personalizado entre la visualización de anuncios. Según la respuesta del servidor, la aplicación también puede ocultar su icono y crear un acceso directo.
"Si un usuario típico intenta deshacerse de la aplicación maliciosa, es probable que solo se elimine el acceso directo. La aplicación continúa ejecutándose en segundo plano sin el conocimiento del usuario. Esta técnica sigilosa ha ido ganando popularidad entre los programas publicitarios relacionados con el adware amenazas distribuidas a través de Google Play ", anotaron los investigadores.
Según el equipo, los estudiantes de una universidad vietnamita pueden estar detrás de la aplicación de adware malicioso.
"Debido a las malas prácticas de privacidad por parte de la universidad de nuestro culpable, ahora sabemos su fecha de nacimiento, sabemos que era un estudiante y a qué universidad asistió. Recuperamos su identificación de la universidad; una búsqueda rápida en Google mostró algunas de las calificaciones de sus exámenes ", dijeron los investigadores.
"El desarrollador malicioso también tiene aplicaciones en Apple App Store. Algunas de ellas son versiones de iOS de las que se eliminaron de Google Play, pero ninguna contiene funcionalidad de adware", dijo Stefanko.