ESET Bongkar Operasi Aplikasi Adware yang Diinstal 8 Juta kali

Sebuah operasi adware besar-besaran telah terjadi selama satu tahun terakhir, dengan aplikasi yang sudah diinstal lebih dari delapan juta kali dari Google Play saja. Lebih dari itu, ESET mengidentifikasi 42 aplikasi di Google Play yang merupakan bagian dari operasi yang sama dan beroperasi sejak Juli 2018, dan 21 di antaranya masih aktif saat ditemukan. ESET mendeteksi adware ini, secara kolektif, sebagai Android/AdDisplay.Ashas.

Kemampuan Ashas

Semua aplikasi memiliki fungsionalitas sesuai yang mereka janjikan, selain berfungsi sebagai adware. Fungsionalitas adware adalah sama di semua aplikasi yang ESET analisis. Analisis fungsi ini menjelaskan satu aplikasi, tetapi berlaku untuk semua aplikasi dari keluarga Android/AdDisplay.Ashas.

Setelah diluncurkan, aplikasi mulai berkomunikasi dengan server kontrol dan komandonya. Lalu mengirim kunci data utama tentang perangkat yang berhasil disusupi, seperti: jenis perangkat, versi OS, bahasa, jumlah aplikasi yang diinstal, ruang penyimpanan, status baterai, apakah perangkat di-rooting dan mode Pengembang diaktifkan, dan apakah Facebook dan FB Messenger diinstal .

Aplikasi kemudian menerima data konfigurasi dari server, yang dibutuhkan untuk menampilkan iklan, dan untuk stealth untuk menyembunyikan diri dari radar dan persistensi sebagai metode bertahan selama mungkin dalam perangkat korban meskipun di-boot atau reset.

Adapun kemampuan bersembunyi layaknya siluman dan bertahan lama dalam perangkat, peretas menggunakan sejumlah trik.

1. Aplikasi berbahay tersebut mencoba mencari tahu apakah sedang diuji oleh mekanisme keamanan Google Play. Untuk tujuan ini, aplikasi menerima flag isGoogleIp dari server C&C, yang menunjukkan apakah alamat IP perangkat yang terpengaruh termasuk dalam kisaran alamat IP yang diketahui untuk server Google. Jika server mengembalikan tanda ini sebagai positif, aplikasi tidak akan memicu muatan adware.

2. Aplikasi dapat mengatur penundaan sebelum menampilkan iklan. Sampel yang telah ESET lihat memiliki konfigurasi di mana mereka menggunakan penundaan menampilkan iklan pertama selama 24 menit setelah perangkat dibuka. Penundaan ini merupakan bagian dari prosedur pengujian umum, yang biasanya membutuhkan waktu kurang dari 10 menit. Semakin lama penundaan, semakin rendah risiko pengguna mengaitkan iklan yang tidak diinginkan dengan aplikasi tertentu.

3. Berdasarkan respons server, aplikasi juga dapat menyembunyikan ikonnya dan membuat pintasan. Jika pengguna biasa mencoba menyingkirkan aplikasi berbahaya, kemungkinan hanya pintasan yang dihapus. Aplikasi kemudian terus berjalan di balik layar tanpa sepengetahuan pengguna. Teknik siluman ini menjadi tren dan meraih popularitas di antara pengembang adware yang mendistribusikan aplikasi melalui Google Play.

Setelah aplikasi jahat menerima data konfigurasinya, perangkat yang terpapar siap untuk menampilkan iklan sesuai pilihan peretas, setiap iklan ditampilkan dalam layar penuh. Jika pengguna ingin memeriksa aplikasi mana yang bertanggung jawab atas iklan yang ditampilkan, dengan menekan tombol “Aplikasi terbaru”, trik lain digunakan: aplikasi menampilkan ikon Facebook atau Google. Adware meniru kedua aplikasi agar terlihat sah dan menghindari kecurigaan dan karenanya tetap berada di perangkat tersebut selama mungkin.

Bagian paling penting, keluarga adware Ashas memiliki kode yang disembunyikan di bawah nama paket com.google.xxx. Trik ini menyamar sebagai bagian dari layanan Google yang sah yag bertujuan untuk menghindari pengawasan. Beberapa mekanisme pendeteksian dan sandbox dapat memasukkan nama paket seperti itu dalam daftar putih, sebagai upaya untuk mencegah pemborosan sumber daya.

Memburu pengembang adware

Dengan menggunakan informasi open source, ESET melacak pengembang adware yang juga diidentifikasi sebagai operator kampanye dan pemilik server C&C. Berdasarkan informasi yang terkait dengan domain C&C terdaftar, ESET mengidentifikasi nama pendaftar, bersama dengan data llain seperti negara dan alamat email.

Mengetahui bahwa informasi yang diberikan kepada domain registrar mungkin palsu, pencarian ESET lanjutkan, kini dengan memanfaatkan Alamat email dan informasi negara yang mengarahkan ke daftar siswa yang menghadiri kelas di universitas Vietnam, menguatkan keberadaan orang yang namanya terdaftar sebagai domain.

Karena praktik privasi yang buruk di pihak universitas tempat pelaku menimba ilmu, ESET dapat mengetahui tanggal lahirnya, ia mungkin menggunakan tahun kelahirannya sebagai bagian dari alamat Gmail-nya, sebagai konfirmasi parsial lebih lanjut. Dia adalah seorang mahasiswa dan ESET juga dapat mengonfirmasi bahwa nomor telepon yang ia berikan ke domain registrar adalah asli. Selain itu, ESET juga mengetahui ID Universitasnya, hasil googling cepat menunjukkan beberapa nilai ujiannya. Namun, tentu saja hasil studinya berada di luar ruang lingkup penelitian.

Berdasarkan alamat email pelakunya, dapat diketemukan repositori GitHub-nya. Repositori nya membuktikan bahwa dia memang seorang pengembang Android, tetapi tidak ada kode yang tersedia untuk publik dari adware Ashas pada saat penulisan posting blog ini.

Menelusuri lebih lanjut, ditemukan juga kanal Youtube miliknya yang menyebarkan adware Ashas dan proyek-proyek lainnya. Adapun keluarga Ashas, ​​salah satu video promosi yang terkait, “Head Soccer World Champion 2018 – Android, ios” dilihat hampir tiga juta kali dan dua lainnya mencapai ratusan ribu tampilan.

Dari kanal YouTube-nya, ia sendiri memiliki fitur dalam tutorial video untuk salah satu proyeknya yang lain. Berkat proyek itu, profil Facebook-nya dapat diketahui berikut dengan data tempat dia kuliah di universitas yang sama seperti data sebelumnya.

Tertaut pada profil Facebook ditemukan laman fan page Facebook, Minigameshouse, dan domain yang terkait, minigameshouse[.]Net. Domain ini mirip dengan yang digunakan pembuat malware untuk komunikasi C&C adware-nya, minigameshouse[.]us. Memeriksa lebih lanjut halaman Minigameshouse ini mengindikasikan bahwa orang ini memang pemilik domain minigameshouse[.]Us: nomor telepon yang terdaftar dengan domain ini sama dengan nomor telepon yang muncul di halaman Facebook. Berkat videonya, ESET bahkan dapat mengidentifikasi tiga aplikasi lebih lanjut yang berisi fungsionalitas adware dan tersedia di Google Play.

Bahaya adware

Karena sifat sebenarnya dari aplikasi yang mengandung adware biasanya disembunyikan bagi pengguna, aplikasi ini dan pengembangnya harus dianggap tidak dapat dipercaya. Ketika diinstal pada perangkat, aplikasi yang mengandung adware dapat melakukan, antara lain:

• Mengganggu pengguna dengan iklan yang mengganggu, termasuk iklan penipuan.

• Sumber daya baterai terbuang.

• Meningkatkan lalu lintas jaringan

• Kumpulkan informasi pribadi pengguna

• Sembunyikan keberadaan mereka di perangkat yang terpengaruh

• Hasilkan pendapatan untuk operatornya tanpa interaksi pengguna