I ricercatori di ESET hanno scoperto una campagna adware ormai attiva da un anno su Google Play e hanno identificato il suo autore. Le app coinvolte, installate otto milioni di volte, usano diversi trucchi per evitarne la rilevazione e garantirne la persistenza.
Abbiamo identificato 42 app su Google Play come appartenenti alla campagna, attiva da luglio 2018. Di queste, 21 erano ancora disponibili al momento della scoperta. Abbiamo segnalato le app al team di sicurezza di Google che le ha rapidamente rimosse. Tuttavia, le app sono ancora disponibili negli app store di terze parti. ESET rileva questo adware, genericamente, come Android / AdDisplay.
Figura 1. App della famiglia Android / AdDisplay.Ashas segnalate a Google da ESET
Figura 2. Il software più popolare della famiglia Android / AdDisplay.Ashas su Google Play risulta “Master downloader video” con oltre cinque milioni di download
Funzionalità
Tutte le app offrono le funzionalità che promettono, oltre a quelle tipiche di un adware presenti in tutte le applicazioni che abbiamo analizzato. [Nota: l’analisi della funzionalità seguente descrive una singola app, ma si applica a tutte le app della famiglia Android / AdDisplay.Ashas.]
Una volta avviata, l’applicazione inizia a comunicare con il suo server C&C (il cui indirizzo IP è codificato in base64 nell’app). Invia i dati chiave sul dispositivo interessato come tipo di dispositivo, versione del sistema operativo, lingua, numero di app installate, spazio di archiviazione libero, stato della batteria, se il dispositivo è accessibile in root e la modalità sviluppatore abilitata e se sono installati Facebook e FB Messenger.
Figura 3. Invio di informazioni sul dispositivo interessato
L’app riceve i dati di configurazione dal server C&C, necessari per la visualizzazione di annunci pubblicitari, per impedire la propria rilevazione e quelli per garantirne la persistenza nel sistema ospite.
Figura 4. File di configurazione ricevuto dal server C&C
Per quanto riguarda la furtività e la resilienza, l’attaccante usa una serie di trucchi.
Innanzitutto, l’app dannosa tenta di determinare se è stata verificata dal meccanismo di sicurezza di Google Play. A tale scopo, l’app riceve dal server C&C il flag isGoogleIp , che indica se l’indirizzo IP del dispositivo interessato rientra nell’intervallo di indirizzi IP noti per i server di Google. Se il server restituisce questo flag come positivo, l’app non attiverà la payload dell’adware.
In secondo luogo, l’app può impostare un ritardo personalizzato tra la visualizzazione degli annunci. I campioni che abbiamo analizzato erano configurati per ritardare la visualizzazione del primo annuncio di 24 minuti dopo lo sblocco del dispositivo. Questo ritardo indica che una tipica procedura di test, che richiede meno di 10 minuti, non rileverà alcun comportamento indesiderato. Inoltre, maggiore è il ritardo, minore è il rischio che l’utente associ gli annunci indesiderati a una particolare app.
In terzo luogo, in base alla risposta del server, l’app può anche nascondere la sua icona e creare invece un collegamento. Se un utente meno esperto tenta di eliminare l’app dannosa, è probabile che riesca a cancellarne solo questo collegamento. L’app continua quindi a essere eseguita in background all’insaputa dell’utente. Questa tecnica sta guadagnando popolarità tra le minacce adware distribuite tramite Google Play.
Figura 5. Ritardo nel posticipare la visualizzazione degli annunci implementati dall’adware
Una volta che l’app dannosa riceve i suoi dati di configurazione, il dispositivo interessato è pronto per visualizzare gli annunci secondo la scelta dell’attaccante; ogni annuncio viene visualizzato come attività a schermo intero. Se l’utente desidera verificare quale app è responsabile per l’annuncio visualizzato, premendo il pulsante “App recenti”, viene utilizzato un altro trucco: l’app visualizza un’icona di Facebook o Google, come mostrato nella Figura 6. L’adware imita queste due app nel tentativo di far sembrare le sue attività legittime in modo da non destare sospetti e garantirsi una maggiore persistenza sul dispositivo infettato.
Figura 6. L’adware si presenta come Facebook (a sinistra). Se l’utente preme a lungo l’icona, viene rivelato il nome dell’app responsabile dell’attività (a destra).
Infine, la famiglia di adware Ashas nasconde il proprio codice sotto il nome del pacchetto com.google.xxx . Questo trucco, che fa parte di un servizio Google legittimo, può aiutare a evitare il controllo. Alcuni meccanismi di rilevamento e sandbox possono inserire nella whitelist tali nomi di pacchetti, nel tentativo di risparmiare risorse.
Figura 7. Codice dannoso nascosto in un pacchetto denominato “com.google”
Caccia allo sviluppatore
Utilizzando le informazioni open source, abbiamo rintracciato lo sviluppatore dell’adware, che abbiamo anche identificato come autore della campagna e proprietario del server C&C. Nei paragrafi seguenti, descriviamo i nostri studi per scoprire altre applicazioni dallo stesso sviluppatore e proteggere i nostri utenti.
Innanzitutto, sulla base delle informazioni associate al dominio C&C registrato, abbiamo identificato il nome del proprietatio, insieme a ulteriori dati come il paese e l’indirizzo e-mail, mostrati nella Figura 8.
Figura 8. Informazioni sul dominio C&C utilizzato dall’adware Ashas
Sapendo che le informazioni fornite a una piattaforma per la registrazione di domini potrebbero essere false, abbiamo continuato la nostra ricerca. L’indirizzo e-mail e le informazioni sul paese ci hanno portato a un elenco di studenti che frequentano un corso presso un’università vietnamita, a conferma dell’esistenza della persona a cui è stato registrato il dominio.
Figura 9. Un elenco di studenti di classe universitaria che include chi ha registrato il dominio C&C
A causa delle scarse pratiche sulla privacy da parte dell’università del nostro colpevole, ora conosciamo la sua data di nascita (probabilmente: apparentemente ha usato il suo anno di nascita come parte del suo indirizzo Gmail), sappiamo che era uno studente e quale università ha frequentato. Abbiamo anche potuto confermare che il numero di telefono fornito alla piattaforma per la registrazione di domini era autentico. Inoltre, abbiamo recuperato il suo ID universitario; una rapida ricerca su Google ha trovato alcuni dei suoi voti agli esami. Tuttavia, i risultati dei suoi studi non rientrano nell’ambito della nostra ricerca.
Basandoci sull’indirizzo e-mail del nostro colpevole, siamo riusciti a trovare il suo repository GitHub, da cui possiamo dedurre che si tratti davvero di uno sviluppatore Android, ma al momento non includeva alcun codice dell’adware Ashas.
Tuttavia, una semplice ricerca su Google per il nome del pacchetto adware ha restituito un progetto “TestDelete” che tempo prima era disponibile nel suo repository.
Lo sviluppatore ha anche applicazioni nell’App Store di Apple. Alcune sono versioni iOS di quelle rimosse da Google Play, ma nessuna contiene funzionalità adware.
Figura 10. Le app per sviluppatori pubblicate sull’App Store che non contengono l’adware Ashas
Cercando ulteriormente le attività del criminale, abbiamo anche scoperto un suo canale Youtube usato per diffondere l’adware Ashas e altri suoi progetti. Per quanto riguarda la famiglia Ashas, uno dei video promozionali associati, “Head Soccer World Champion 2018 – Android, ios” è stato visto quasi tre milioni di volte e altri due hanno raggiunto centinaia di migliaia di visualizzazioni, come mostrato nella Figura 11.
Figura 11. Canale YouTube dello sviluppatore criminale
Il suo canale YouTube ci ha fornito un’altra preziosa informazione: lui stesso è presente in un tutorial video per uno dei suoi altri progetti. Grazie a quel progetto, siamo stati in grado di estrarre il suo profilo Facebook – che elenca i suoi studi presso la suddetta università.
Figura 12. Profilo Facebook di chi ha registrato il dominio C&C (immagine di copertina e immagine del profilo modificate)
Collegati al profilo Facebook dello sviluppatore malintenzionato, abbiamo scoperto una pagina Facebook, Minigameshouse e un dominio associato, minigameshouse [.] Net. Questo dominio è simile a quello utilizzato dall’autore del malware per la sua comunicazione C&C adware, minigameshouse [.] Us.
Il controllo di questa pagina di Minigameshouse indica inoltre che questa persona è effettivamente il proprietario del dominio minigameshouse [.] Us: il numero di telefono registrato con questo dominio è lo stesso del numero di telefono che appare sulla pagina Facebook.
Figura 13. La pagina Facebook gestita chi ha registrato il dominio C&C utilizza lo stesso nome di dominio di base (minigioco) e il numero di telefono del C&C dannoso registrato utilizzato dall’adware Ashas
È interessante notare che sulla pagina Facebook di Minigameshouse , lo sviluppatore malintenzionato promuove una serie di giochi oltre la famiglia Ashas per il download su Google Play e sull’App Store. Tuttavia, tutti questi sono stati rimossi da Google Play, nonostante alcuni di essi non contenessero alcuna funzionalità adware.
Inoltre, uno dei video di YouTube di questo sviluppatore – un tutorial sullo sviluppo di un “gioco istantaneo” per Facebook – funge da esempio di sicurezza completamente ignorata. Siamo riusciti a vedere che i suoi siti Web visitati di recente erano pagine di Google Play appartenenti ad app contenenti l’adware Ashas. Ha anche usato il suo account e-mail per accedere a vari servizi nel video, che lo identifica senza alcun dubbio come proprietario del dominio adware.
Grazie al video, siamo stati persino in grado di identificare altre tre app che contenevano funzionalità di adware ed erano disponibili su Google Play.
Figura 14. Le schermate del video YouTube di questo sviluppatore mostrano la cronologia del controllo degli adware Ashas su Google Play
Telemetria ESET
Figura 15. Rilevamenti ESET di Android / AdDisplay. Asha su dispositivi Android per Paese
Gli adware sono dannosi?
Poiché la vera natura delle app contenenti adware è generalmente nascosta all’utente, queste app e i loro sviluppatori dovrebbero essere considerati inaffidabili. Se installate su un dispositivo, le app contenenti adware possono, tra le altre cose:
- Infastidire gli utenti con pubblicità invasive, inclusi annunci truffa
- Utilizzare impropriamente le risorse della batteria del dispositivo
- Generare aumento del traffico di rete
- Raccogliere le informazioni personali degli utenti
- Nascondere la loro presenza sul dispositivo interessato per garantire la propria persistenza
- Generare profitti per il proprio operatore senza alcuna interazione da parte dell’utente
Conclusioni
Basandoci esclusivamente sull’intelligence open source, siamo stati in grado di tracciare lo sviluppatore dell’adware Ashas e stabilire la sua identità e scoprire ulteriori app infette da adware correlate. Visto che lo sviluppatore non ha adottato alcuna misura per proteggere la sua identità, sembra probabile che le sue intenzioni non fossero inizialmente disoneste – e questo è anche supportato dal fatto che non tutte le app che ha pubblicato contenevano annunci indesiderati.
Ad un certo punto della sua “carriera” su Google Play, ha apparentemente deciso di aumentare le sue entrate pubblicitarie implementando la funzionalità adware nel codice delle sue app. Le varie tecniche usate per evitare la rilevazione e garantire la persistenza implementate nell’adware ci mostrano che il colpevole era a conoscenza della natura dannosa delle funzionalità aggiunte e ha tentato di tenerle nascoste.
Inserire funzionalità indesiderate o dannose in app popolari e benigne è una pratica comune tra gli sviluppatori “cattivi” e siamo costantemente impegnati nell’individuare questi software. Li segnaliamo a Google e adotteremo altre misure per interrompere le campagne dannose che scopriamo. Ultimo ma non meno importante, pubblichiamo i nostri risultati per aiutare gli utenti Android a proteggersi.
Lascia un commento