Autor: Indrek Kald • 30. oktoober 2019

Eseti kinnitusel on nende teadlased avastanud Google Play vastu suunatud ning aasta aega kestnud, kaheksa miljoni installimisega reklaamvara Android/AdDisplay.Ashas rünnaku. Uurimirühmal õnnestus tuvastada pahavara arendaja ja leida täiendavaid reklaamvaraga koormatud rakendusi.

"Tuvastasime Google Plays 42 nimetatud rünnakule kuulutavat rakendust, millest 21 olid ikka veel aktiivsed ka meie leiu ajal. Tuginedes meie raportile, eemaldas Google´i turbetiim kõik rakendused. Siiski on samad rakendused veel saadaval ka kolmandates äpipoodides," sõnas Eseti pahavara uurija Lukáš Štefanko.

Rakendused pakuvad peale lubatud funktsioonide, nagu näiteks videote allalaadimise, lihtsamate mängude ja raadiomängija, ka pahavara. "Pahavara funktsionaalsus on meie poolt analüüsitud rakendustes ühesugune," ütles Štefanko.

Äpid kasutavad mitmeid trikke, et jõuda kasutaja seadmetesse ja jääda märkamatuks: jälgivad Google Play turbekontrolli mehhanismi, viivitavad reklaami kuvamisega pärast seadme lukustamist, peidavad oma ikoone ja loovad selle asemel otseteid.

Pahavara poolt edastatud reklaamvara kuvatakse täisekraani toiminguna. Kui kasutaja soovib kontrollida reklaami taga olevat äppi, imiteerib rakendus Facebooki või Google´it.

"Reklaamvara jäljendab neid kahte rakendust, et näida korrektne ja vältida kahtluste teket ning pikendada seeläbi oma elujärku seadmes võimalikult pikaks," selgitas Štefanko.

Veel üks huvitav aspekt on Ashas-reklaamvara perekonna lüke peita kood com.google.xxx paketi nime taha. "Näidates end Google´i teenuse osana, võib aidata vältida liigset kontrolli. Mõned tuvastamismehhanismid ja liivakastid võiva ressursside raiskamise ennetamiseks märkida nimetatud paketi nimed lubatuks," märkis Štefanko.

Eseti uurijad märkasid äppe analüüsides, et pahavara arendajad jätsid maha mitu jälge. Pahavara arendaja tuvastamiseks, kes osutus ka rünnaku operaatoriks ja C&C serveri omanikuks, kasutasid uurijad avatud lähtekoodiga teavet.

Štefanko selgitusel oli arendaja identiteedi kindlakstegemine edasiste pahavarade ja rünnakute jahi käigus saavutatud meeldiv lisatulemus.

Ehkki reklaamvara pole võrreldes teiste pahavara vormidega nii kahjulik, on selle võime hiilida ametlikku Androidi äpipoodi siiski häiriv. "Kasutajad peaksid kaitsma oma seadmeid, jälgides põhilisi küberturvalisuse põhimõtteid ja kasutama kvaliteetset turbelahendust," soovitas Eseti pahavara uurija Lukáš Štefanko.

1987. aastal Slovakkias loodud andmeturbefirma Eset kontorid asuvad viies maailmajaos ning firma omab edasimüüjaid 180 riigis.