Мы обнаружили крупномасштабную кампанию по распространению рекламного ПО, которая длилась около года, а участвующие в ней приложения были установлены восемь миллионов раз с одного лишь Google Play.

На Google Play нам удалось выявить 42 приложения, принадлежащих к этой кампании, которая действовала с июля 2018 г. 21 из них оставалось доступным на момент обнаружения. Мы сообщили об этих приложениях в службу безопасности Google, и они были оперативно удалены. Тем не менее, данные программы все еще остаются доступными в сторонних магазинах приложений. Собирательным наименованием этого обнаруженного ESET рекламного ПО стало Android/AdDisplay.Ashas.

Рис. 1. Информация о приложениях семейства Android/AdDisplay.Ashas была предоставлена компанией ESET корпорации Google

Рис. 2. Наиболее популярным на Google Play членом семейства Android/AdDisplay.Ashas стало приложение Video downloader master, загруженное свыше пяти миллионов раз

Функциональные возможности Ashas

Помимо работы в качестве рекламной программы все приложения обладают заявленными функциональными возможностями. Функционал рекламного ПО оставался одинаковым во всех проанализированных приложениях. Примечание. Описанный ниже анализ функциональных возможностей выполнен для одного приложения, но его результаты применимы ко всем программам семейства Android/AdDisplay.Ashas.

После запуска данное приложение начинает информационный обмен со своим командным сервером (IP-адрес которого закодирован в приложении с применением стандарта base64). Оно передает на «домашний» сервер ключевые данные о соответствующем устройстве: тип устройства, версия ОС, язык, количество установленных приложений, свободный объем памяти, состояние батареи, является ли устройство рутованным и включен ли на нем режим разработчика, а также, установлены ли на нем Facebook и FB Messenger.

Рис. 3. Передача информации об устройстве, на котором установлено рекламное ПО

Это приложение получает от командного сервера параметры конфигурации, необходимые для отображения рекламы, а также для длительного незаметного функционирования.

Рис. 4. Файл конфигурации, полученный от командного сервера

Чтобы обеспечить продолжительную скрытную работу приложений, злоумышленником используется ряд ухищрений.

Во-первых, вредоносное приложение пытается определить, выполнялась ли его проверка защитным механизмом Google Play. Для этой цели оно получает от командного сервера флаг isGoogleIp, указывающий на то, попадает ли IP-адрес соответствующего устройства в диапазон IP-адресов, известных серверам Google. Если значение возвращаемого сервером флага оказывается положительным, то рекламные функции приложением не запускаются.

Во-вторых, это приложение допускает установку настраиваемой задержки между показами рекламной информации. Конфигурацией рассмотренных нами образцов была предусмотрена задержка отображения первого рекламного блока, составляющая 24 минуты после разблокировки устройства. Эта задержка означает, что стандартная процедура тестирования, занимающая менее 10 минут, не выявит какой-либо подозрительной активности. Кроме того, чем дольше задержка, тем меньше опасность того, что пользователь сможет связать появление нежелательной рекламы с конкретным приложением.

В-третьих, исходя из ответа сервера, данное приложение может скрыть свой значок, создав вместо него горячую клавишу. Если обычный пользователь попытается избавиться от вредоносной программы, то существует вероятность того, что удалению подвергнется лишь горячая клавиша. После этого приложение продолжит работать в фоновом режиме, не информируя об этом пользователя. Эта технология скрытого функционирования набирает популярность среди прочих угроз, связанных с рекламным ПО, которые распространяются через Google Play.

Рис. 5. Задержка отображения рекламы, применяемая рекламным ПО

После получения вредоносным приложением его параметров конфигурации устройство, на котором оно установлено, оказывается готовым к отображению рекламной информации, предоставляемой по выбору злоумышленника; каждый рекламный блок показывается в полноэкранном режиме. Если пользователь пытается проверить, какое из приложений вызывает появление рекламы, нажав кнопку «Последние приложения», то используется другая хитрость: данным приложением отображается значок Facebook или Google, как показано на рис. 6. Рекламное ПО имитирует эти два приложения, чтобы казаться легитимным и избежать подозрений, оставаясь, таким образом, установленным на устройстве так долго, насколько возможно.

Рис. 6. Рекламное приложение подражает работе Facebook (слева). Если пользователь производит длинное нажатие на значок, то на экране отображается название приложения, ответственного за отображение рекламы (справа).

В завершение, рекламное ПО семейства Ashas скрывает свой код под именем пакета com.google.xxx. Эта уловка заключается в представлении данного приложения частью легитимной службы Google, благодаря чему оно может избежать тщательной проверки. Некоторые механизмы обнаружения и тестовые среды могут заносить подобные имена пакетов в белый список, пытаясь предотвратить расход ресурсов.

Рис. 7. Код вредоносного приложения скрыт в пакете под именем com.google

Поиск разработчика

С применением информации из открытых источников нами был выявлен разработчик данного рекламного ПО, которого мы также идентифицировали как оператора кампании и владельца командного сервера. В последующих разделах описываются наши действия по выявлению других приложений этого разработчика и меры, предпринимаемые для защиты от них наших пользователей.

В первую очередь, по информации, связанной с зарегистрированным доменом командного сервера, мы определили имя регистрирующего лица, а также дополнительную информацию, такую как страна пребывания и адрес электронной почты, как показано на рис. 8.

Рис. 8. Информация о домене командного сервера, используемого рекламным ПО Ashas

Зная о том, что информация, предоставленная регистратору домена, может оказаться ложной, мы продолжили наши поиски. Сведения об адресе электронной почты и стране привели нас к списку студентов, посещающих вьетнамский университет, подтвердив факт существования человека, под именем которого был зарегистрирован домен.

Рис. 9. Список студентов университета, включающий в себя имя лица, зарегистрировавшего домен командного сервера

Благодаря недостаточно строгой политике защиты персональных данных, которой придерживается университет злоумышленника, нам стала известна дата его рождения (вероятная: по всей видимости, он использует год своего рождения, как часть почтового адреса Gmail, что является дополнительным подтверждением правильности наших догадок), то, что он является студентом, и то, какой университет он посещает. Также мы смогли подтвердить то, что телефонный номер, предоставленный им регистратору домена, является настоящим. Более того, нам удалось обнаружить его университетские записи; непродолжительный поиск в Интернете позволил найти оценки, полученные им на некоторых экзаменах. Однако, его успеваемость выходит за рамки нашего исследования.

По адресу электронной почты нашего злоумышленника мы смогли отыскать его репозиторий GitHub. Его репозиторий подтверждает то, что он действительно является разработчиком Android, но на момент написания этой заметки в блоге общедоступного кода рекламного ПО Ashas в нем не было.

Тем не менее, обычный поиск имени пакета рекламного ПО в Интернете позволил найти проект TestDelete, который когда-то был доступным в репозитории злоумышленника.

Помимо прочего, приложения этого разработчика вредоносных программ имеются в App Store компании Apple. Некоторые из них представляют собой предназначенные для iOS версии тех приложений, которые были удалены с Google Play, но ни одна из них не содержит функций распространения рекламы.

Рис. 10. Опубликованные на App Store приложения от разработчика вредоносного ПО, которые не содержат рекламных функций Ashas

В ходе дальнейшего исследования деятельности данного злоумышленника нами был обнаружен Youtube-канал для распространения рекламного ПО Ashas и другие его проекты. Что касается продуктов семейства Ashas, то один из связанных с ним рекламных видеороликов, Head Soccer World Champion 2018 — Android, ios просматривался почти три миллиона раз, а два других набрали сотни тысяч просмотров, как показано на рис. 11.

Рис. 11. YouTube-канал разработчика вредоносного ПО

Благодаря YouTube-каналу злоумышленника нам удалось получить дополнительные ценные сведения: он сам снимается в обучающем видео к одному из других своих проектов. С помощью этого проекта мы смогли найти его профиль в Facebook, где упоминается его обучение в вышеуказанном университете.

Рис. 12. Профиль лица, зарегистрировавшего домен командного сервера, в Facebook (изображение на титульной странице и изображение из профиля пользователя отредактированы)

С помощью ссылки, имеющейся в Facebook-профиле разработчика вредоносного ПО, мы обнаружили страницу Minigameshouse в Facebook и связанный с ней домен minigameshouse[.]net. Этот домен аналогичен тому, который злоумышленник использует для организации обмена данными между рекламным ПО и командным сервером — minigameshouse[.]us.

Проверка страницы Minigameshouse позволяет получить дополнительное подтверждение того, что это лицо действительно является владельцем домена minigameshouse[.]us: телефонный номер, зарегистрированный вместе с этим доменом, идентичен тому, который отображается на странице в Facebook.

Рис. 13. Для страницы в Facebook, которой управляет лицо, зарегистрировавшее домен командного сервера, применяется то же основное доменное имя (minigameshouse) и телефонный номер, что и при регистрации командного сервера, используемого рекламным ПО Ashas

Интересным является то, что на странице Minigameshouse в Facebook автор рекламирует множество игр, не принадлежащих семейству Ashas, которые доступны для загрузки на Google Play и App Store. Тем не менее, все эти продукты были удалены с Google Play, несмотря на то, что некоторые из них не содержали какого-либо рекламного функционала.

Помимо всего прочего, один из доступных на YouTube видеороликов этого разработчика вредоносного ПО, а именно, руководство по разработке «Мгновенной игры (Instant Game)» для Facebook, служит примером полного пренебрежения средствами защиты. В нем мы увидели, что недавно посещенными злоумышленником вебсайтами были страницы Google Play, принадлежащие приложениям, которые содержат рекламное ПО Ashas. Кроме того, в этом видео он использовал свою учетную запись электронной почты для входа в различные службы, что позволяет без каких-либо сомнений идентифицировать его, как владельца домена рекламного ПО.

Благодаря этому видеоролику мы смогли выявить еще три приложения, которые включали в себя рекламные функции и оставались доступными на Google Play.

Рис. 14. Экранные снимки видеоролика, размещенного на YouTube этим разработчиком, демонстрирующие хронологию проверки рекламного ПО Ashas на Google Play

Телеметрия ESET

Рис. 15. Распределение выявленных компанией ESET приложений Android/AdDisplay.Ashas, установленных на устройствах Android, по странам

Является ли рекламное ПО вредоносным?

В связи с тем, что истинная природа приложений, содержащих рекламное ПО, обычно остается скрытой от пользователя, эти программы и их разработчиков следует считать неблагонадежными. После установки на устройстве наделенные рекламными функциями приложения могут, помимо прочего:

  • Раздражать пользователей навязчивой рекламой, в том числе, предложениями мошеннического характера;
  • Расходовать ресурсы батареи устройства;
  • Формировать повышенный сетевой траффик;
  • Осуществлять сбор персональных данных пользователя;
  • Скрывать свое присутствие на соответствующем устройстве для обеспечения длительного функционирования;
  • Приносить прибыль своему оператору без участия пользователя.

Заключение

В ходе расследования, выполненного исключительно на основе открытых данных, нам удалось отследить разработчика рекламного ПО Ashas, установить его личность и обнаружить дополнительные приложения, наделенные рекламным функционалом. Принимая во внимание то, что разработчик не предпринимал каких-либо мер для защиты информации, позволяющей идентифицировать его личность, кажется вероятным то, что изначально мошенничество не входило в его планы, — это также подтверждается тем фактом, что нежелательные рекламные функции содержались лишь в некоторых приложениях, опубликованных им.

Судя по всему, на каком-то этапе своей «карьеры» в Google Play он решил увеличить свои доходы за счет внедрения рекламных функций в код разрабатываемых им приложений. Применение в данном рекламном ПО различных технологий длительного незаметного функционирования свидетельствует о том, что злоумышленник знал о вредоносном характере добавленных функций и стремился скрыть их от пользователя.

Скрытое внедрение нежелательного или вредоносного функционала в популярные полезные приложения является распространенной практикой среди недобросовестных разработчиков, и наша компания прилагает все усилия для выявления подобных программ. Мы сообщаем о них корпорации Google и предпринимаем другие действия для приостановки кампаний по распространению обнаруженного нами опасного ПО. Наконец, что не менее важно, мы публикуем информацию о наших находках, чтобы помочь пользователям Android защитить себя.

Характеристики врредоносного ПО (IoCs)

Имя пакетаХэшКоличество установок
com.ngocph.masterfreec1c958afa12a4fceb595539c6d208e6b103415d75,000,000+
com.mghstudio.ringtonemaker7a8640d4a766c3e4c4707f038c12f30ad7e21876500,000+
com.hunghh.instadownloader8421f9f25dd30766f864490c26766d381b89dbee500,000+
com.chungit.tank1990237f9bfe204e857abb51db15d6092d350ad3eb01500,000+
com.video.downloadmasterfree43fea80444befe79b55e1f05d980261318472dff100,000+
com.massapp.instadownloader1382c2990bdce7d0aa081336214b78a06fceef62100,000+
com.chungit.tankbattle1630b926c1732ca0bb2f1150ad491e19030bcbf2100,000+
com.chungit.basketball188ca2d47e1fe777c6e9223e6f0f487cb5e98f2d100,000+
com.applecat.worldchampion2018502a1d6ab73d0aaa4d7821d6568833028b6595ec100,000+
org.minigamehouse.photoalbuma8e02fbd37d0787ee28d444272d72b894041003a100,000+
com.mngh.tuanvn.fbvideodownloader035624f9ac5f76cc38707f796457a34ec2a97946100,000+
com.v2social.socialdownloader2b84fb67519487d676844e5744d8d3d1c935c4b7100,000+
com.hikeforig.hashtag8ed42a6bcb14396563bb2475528d708c368da316100,000+
com.chungit.heroesjumpc72e92e675afceca23bbe77008d921195114700c100,000+
com.mp4.video.downloader61E2C86199B2D94ABF2F7508300E3DB44AE1C6F1100,000+
com.videotomp4.downloader1f54e35729a5409628511b9bf6503863e9353ec950,000+
boxs.puzzles.Puzzleboxb084a07fdfd1db25354ad3afea6fa7af497fb7dc50,000+
com.intatwitfb.download.videodownloader8d5ef663c32c1dbcdd5cd7af14674a02fed3046750,000+
com.doscreenrecorder.screenrecordere7da1b95e5ddfd2ac71587ad3f95b2bb5c0f365d50,000+
com.toptools.allvideodownloader32E476EA431C6F0995C75ACC5980BDBEF07C8F7F50,000+
com.top1.videodownloadera24529933f57aa46ee5a9fd3c3f7234a1642fe1710,000+
com.santastudio.headsoccer286d48c25d24842bac634c2bd75dbf721bcf4e2ea10,000+
com.ringtonemakerpro.ringtonemakerapp20195ce9f25dc32ac8b00b9abc3754202e96ef7d66d910,000+
com.hugofq.solucionariodebaldor3bb546880d93e9743ac99ad4295ccaf98292026010,000+
com.anit.bouncingball6e93a24fb64d2f6db2095bb17afa12c34b2c845210,000+
com.dktools.liteforfb7bc079b1d01686d974888aa5398d6de54fd9d11610,000+
net.radiogroup.tvnradioba29f0b4ad14b3d77956ae70d812eae6ac761bee10,000+
com.anit.bouncingball6E93A24FB64D2F6DB2095BB17AFA12C34B2C845210,000+
com.floating.tube.bymuicv6A57D380CDDCD4726ED2CF0E98156BA404112A5310,000+
org.cocos2dx.SpiderSolitaireGamesadbb603195c1cc33f8317ba9f05ae9b74759e75b5,000+
games.puzzle.crosssum31088dc35a864158205e89403e1fb46ef6c2c3cd5,000+
dots.yellow.craft413ce03236d3604c6c15fc8d1ec3c9887633396c5,000+
com.tvngroup.ankina.reminderWater5205a5d78b58a178c389cd1a7b6651fe5eb7eb095,000+
com.hdevs.ringtonemaker2019ba5a4220d30579195a83ddc4c0897eec9df59cb75,000+
com.carlosapps.solucionariodebaldor741a95c34d3ad817582d27783551b5c85c4c605b5,000+
com.mngh1.flatmusic32353fae3082eaeedd6c56bb90836c89893dc42c5,000+
com.tvn.app.smartnoteddf1f864325b76bc7c0a7cfa452562fe0fd413511,000+
com.thrtop.alldownloaderf46ef932a5f8e946a274961d5bdd789194bd2a7d1,000+
com.anthu91.soccercard0913a34436d1a7fcd9b6599fba64102352ef2a4a1,000+
com.hugofq.wismichudosmildiecisiete4715bd777d0e76ca954685eb32dc4d16e609824f1,000+
com.gamebasketball.basketballperfectshote97133aaf7d4bf90f93fefb405cb71a2877908391,000+
com.nteam.solitairefree3095f0f99300c04f5ba877f87ab86636129769b1100+
com.instafollowers.hiketop3a14407c3a8ef54f9cba8f61a271ab94013340f81+

Командный сервер

http://35.198.197[.]119:8080

Методики MITRE ATT&CK

ТактикаИдентификаторНазваниеОписание
Начальный доступT1475Доставка вредоносного приложения через официальный магазин приложенийВредоносное ПО имитирует разрешенные службы на Google Play
Длительное функционированиеT1402Приложение автоматически запускается при загрузке устройстваПриложение Android может ожидать сообщения BOOT_COMPLETED, чтобы обеспечить включение требуемых функций при каждом запуске устройства
ВоздействиеT1472Позволяет получать прибыль от недобросовестной рекламыПриносит доход за счет автоматического отображения рекламной информации

Благодарим @jaymin9687 за привлечение нашего внимания к проблеме, связанной с отображением нежелательной рекламы приложением Video downloader master.

Источник: Welivesecurity