惡意Android程式遇到Google會裝乖

資安業者ESET揭露Google Play上有42款程式，涉及大型的廣告軟體活動，它們會持續透過程式遞送廣告，但只要察覺到受害裝置的IP位址可能隸屬於Google，就會裝乖而不會觸動廣告機制。此外，ESET也肉搜了相關程式的開發者，發現他是一名越南的大學生，連他的個資都一併曝光。

這些程式的廣告活動大約維持了一年，總下載量超過800萬次，它們都具備程式所宣稱的各種功能，不過也都植入了Ashas廣告程式，在啟用後會先與遠端的C&C伺服器通訊，並傳送裝置型號、作業系統版本、語言、程式安裝數量、剩餘儲存空間、電池狀態、是否已被破解，或是否安裝臉書或Messenger等訊息至C&C伺服器。

程式也會自C&C伺服器接收配置資料，以用來呈現廣告或躲避追蹤。為了讓這些程式能夠持續待在使用者的裝置上，而不被察覺，駭客使用了許多的技倆，其中之一是會檢查裝置的IP位址，是否隸屬於Google伺服器，倘若答案是肯定的，那麼程式就不會觸發廣告酬載。

此外，這些程式還能客製化呈現廣告的間距，例如在裝置解鎖的24分鐘之後才出現廣告，以免使用者起疑；相關程式還會隱藏自己的圖示，並以捷徑代替，讓使用者難以刪除；且當使用者企圖確認廣告來源時，它會出現假冒的臉書或Google圖示；並將Ashas程式碼藏匿在com.google.xxx的資料夾，以閃避偵測。

ESET追蹤了這些程式與C&C伺服器，發現它們都來自同一個開發者，透過C&C伺服器的註冊資訊，找到了開發者的身分，證實了他是來自越南的一名大學生，不但查到了他所就讀的學校，還知道他的姓名、生日、電話號碼、學生證號碼、考試成績，也找到他的GitHub帳號、臉書帳號、YouTube頻道，並發現他所撰寫的程式也有iOS版本。

在收到ESET的通知之後，Google已經移除了所有相關程式。但ESET提醒，這些程式可能還在第三方的Android市集中流竄。