SIKKERHET

Aggressive annonse-apper med millioner av nedlastinger bruker sleipe triks for å holde seg skjult

Noen av adware-appene som ESET nylig fant på Google Play.
Noen av adware-appene som ESET nylig fant på Google Play. Foto: ESET
28. okt. 2019 - 20:00

Android-apper med mindre enn edle hensikter begynner å bli tallrike, og sikkerhetsforskere melder stadig om nye oppdagelser. Nå har vi fått nok en ladning av apper du nok gjør best i å slette fra enhetene dine, melder blant andre nettstedet TechCrunch.

Sikkerhetsselskapet ESET har funnet et knippe apper på Google Play som skal ha blitt brukt til en årelang adware-kampanje. Appene det dreier seg er blitt lastet ned rundt åtte millioner ganger og teller til sammen 42 stykker.

Sender informasjon til C&C-server

Samtlige av appene skal ha blitt fjernet av Google etter at ESET gjorde dem oppmerksomme på funnene, men noen av programmene skal ifølge sikkerhetsselskapet fremdeles være tilgjengelige i andre app-butikker.

Applikasjonene, som dekker flere ulike kategorier, har i utgangspunktet normal funksjonalitet, men benyttes til aggressiv visning av annonser i fullskjermmodus på brukernes enheter.

Når appene startes opp opprettes kommunikasjon med en C&C-server som mottar data om den infiserte enheten, slik som enhetstype, OS-versjon, språk, antall installerte apper, lagringsplass, batteristatus og hvorvidt utviklermodus er aktivert.

Et knippe av appene som kom med den aggressive adware-programvaren.
Les også

Android-apper med millioner av nedlastinger kom med ekstremt aggressiv og «smart» adware 

Basert på denne informasjonen mottar appen konfigurasjonsdata fra C&C-serveren, som igjen brukes til å vise annonser. Programmene bruker et knippe triks som gjør dem vanskelige å oppdage og fjerne fra mobilen. 

Tidsintervaller og skjulte ikoner

Appene er blant annet i stand til å vite om den blir testet av Google Plays sikkerhetsmekanismer ved å sjekke hvorvidt IP-adressen til enheten er koblet til noen av de kjente IP-adressene for Googles servere. Dersom dette er tilfelle vil ikke adware-lasten utløses.

I tillegg kan appene vise annonser med bestemte tidsintervaller, slik at annonsene vises utenfor det tidsrommet det tar å gjennomføre en test, noe som fører til at det ikke oppdages uønsket aktivitet. Funksjonen gjør også at visningen av annonsene kan utsettes lenge, som gjør det vanskelig for brukeren å koble annonsene til en bestemt app.

Appene er også i stand til å gjemme ikonene sine og i stedet opprette en snarvei, som betyr at brukeren lett ender opp med å kun slette snarveien dersom man forsøker å slette appen, mens selve appen fortsetter å kjøre i bakgrunnen.

Les også

Skadelige apper med over 330 millioner nedlastinger ble funnet på Google Play i september – dette er de største truslene

En annen sleip teknikk appene bruker for å unngå å bli oppdaget er å etterligne de legitime Facebook- eller Google-ikonene når brukeren benytter «siste apper»-funksjonen for å sjekke hvilken app som viser annonsene.

Appene har en del likhetstrekk med den aggressive adware-familien som sikkerhetsselskapet Trend Micro rapporterte om i august i år, som hadde mange av de samme funksjonene.

Mer informasjon om den nye adware-kampanjen kan du finne hos ESET.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra