圖片來源: 

ESET

資安業者ESET揭露Google Play上有42款程式,涉及大型的廣告軟體活動,它們會持續透過程式遞送廣告,但只要察覺到受害裝置的IP位址可能隸屬於Google,就會裝乖而不會觸動廣告機制。此外,ESET也肉搜了相關程式的開發者,發現他是一名越南的大學生,連他的個資都一併曝光。

這些程式的廣告活動大約維持了一年,總下載量超過800萬次,它們都具備程式所宣稱的各種功能,不過也都植入了Ashas廣告程式,在啟用後會先與遠端的C&C伺服器通訊,並傳送裝置型號、作業系統版本、語言、程式安裝數量、剩餘儲存空間、電池狀態、是否已被破解,或是否安裝臉書或Messenger等訊息至C&C伺服器。

程式也會自C&C伺服器接收配置資料,以用來呈現廣告或躲避追蹤。為了讓這些程式能夠持續待在使用者的裝置上,而不被察覺,駭客使用了許多的技倆,其中之一是會檢查裝置的IP位址,是否隸屬於Google伺服器,倘若答案是肯定的,那麼程式就不會觸發廣告酬載。

此外,這些程式還能客製化呈現廣告的間距,例如在裝置解鎖的24分鐘之後才出現廣告,以免使用者起疑;相關程式還會隱藏自己的圖示,並以捷徑代替,讓使用者難以刪除;且當使用者企圖確認廣告來源時,它會出現假冒的臉書或Google圖示;並將Ashas程式碼藏匿在com.google.xxx的資料夾,以閃避偵測。

ESET追蹤了這些程式與C&C伺服器,發現它們都來自同一個開發者,透過C&C伺服器的註冊資訊,找到了開發者的身分,證實了他是來自越南的一名大學生,不但查到了他所就讀的學校,還知道他的姓名、生日、電話號碼、學生證號碼、考試成績,也找到他的GitHub帳號、臉書帳號、YouTube頻道,並發現他所撰寫的程式也有iOS版本。

在收到ESET的通知之後,Google已經移除了所有相關程式。但ESET提醒,這些程式可能還在第三方的Android市集中流竄。


Advertisement

更多 iThome相關內容