Szám szerint 42 olyan alkalmazást azonosítottak a kiberbiztonsági kutatók a Google Play áruházban, amelyeket eredetileg legális appokként terjesztettek, azonban a frissítésük után fertőzöttekké váltak, és – többek között – nem kívánatos hirdetésekkel bombázták a felhasználókat. Az alkalmazásokat legalább nyolc milliószor letöltötték. A legnépszerűbb közülük a Video Downloader Master volt, ezt öt milliószor töltötték le. Az alkalmazások teljes listája ennek a bejegyzésnek a végén található.

A felfedezés időpontjában 21 app még mindig elérhető volt. Azóta már ezeket is eltávolították a Google-áruházból, azonban harmadik fél alkalmazásboltjaiban még elérhetők. Az ügyet felgöngyölítő ESET cég szakembere, Lukas Stefanko Android/AdDisplay Ashas-nak nevezte el az adware-családot.

ESET

Valamennyi fertőzött alkalmazás úgy működik, ahogyan elvárható, azonban amint elindul, megkezdi a kommunikációt egy távoli szerverrel, elküldi a kulcsfontosságú adatokat az érintett eszközről (az eszköz típusa, az operációs rendszer verziója, nyelve, a telepített alkalmazások száma, a szabad tárhely, az akkumulátor állapota, engedélyezve van-e a fejlesztői mód, illetve telepítették-e a Facebookot és a Facebook Messengert.

Az alkalmazás ezután konfigurációs adatokat kap a szerverről, ezek felelősek a támadó választása szerinti hirdetések megjelenítéséért. Az adware számos trükköt is bevet a fertőzöttség elrejtésére. Annak megakadályozására például, hogy a felhasználók társítsák egy konkrét apphoz a nem kívánatos hirdetéseket, a fejlesztő egyéni késleltetéseket is beépített, így a teljes képernyős hirdetések nem közvetlenül azután jelennek meg, hogy telepítették az appot.

Az alkalmazások elrejtik az ikonjaikat az androidos telefon menüjében, és létrehoznak egy parancsikont az eltávolítás megakadályozására. Ha a felhasználó megszabadulna a rosszindulatúvá vált alkalmazástól, akkor csak ezt a parancsikont tudja eltávolítani, maga az app a háttérben, csendben fut tovább. Ha az áldozat a Legutóbbi alkalmazások gombra kattint, hogy kiderítse, kitől származik a hirdetés, akkor az adware trükkösen a Google vagy a Facebook ikont jeleníti meg.

A biztonsági kutató a fejlesztő után is kutakodni kezdett, és egyáltalán nem volt nehéz dolga. A vietnami egyetemista meg sem próbálta elrejteni a személyazonosságát: az adware alkalmazásokhoz társított domain nyilvánosan elérhető regisztrációs adatai segítettek megtalálni a fejlesztőt, kiderült a valódi neve, a címe, a telefonszáma, s könnyen elérték személyes fiókját a Facebookon, a YouTube-on és a GitHubon. Abból, hogy ez ilyen könnyen ment, Stefanko arra következtetett, hogy a fiú szándékai eleinte tisztességesek voltak, és csak később dönthetett úgy, hogy adware-funkciót is beépít az alkalmazások kódjába, hogy több bevételhez jusson.

Az androidosoknak azt ajánlják, hogy töröljék a programokat (amennyiben letöltötték ezeket), és az iOS-eseknek is azt javasolják, hogy ellenőrizzék iPhone-jukon a szóban forgó alkalmazásokat, ugyanis jó pár androidos programnak van iOS-es verziója is, bár eddig ezekről nem jelentették, hogy kéretlen hirdetéseket mutattak volna.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.