Tietoturvayritys paljasti Google Play -kaupassa joukon hyödyllisiksi väitettyjä Android-sovelluksia, jotka kuormittivat laitteita jatkuvilla mainosnäytöillä.
Tietoturvayritys Check Pointin Harmony Mobile -tiimi on tuonut esiin Android-sovelluskannan, joka naamioituu hyödyllisiksi työkaluiksi, kuten emoji-muokkaussovelluksiksi, mutta toimii taustalla aggressiivisen mainosmoottorin avulla.
GhostAd-nimellä tunnettu mainosohjelmakampanja koostui vähintään 15 keskenään yhteydessä olevasta sovelluksesta, joista osa oli edelleen saatavilla Google Play -sovelluskaupassa tutkimuksen alkaessa.
Aiheeseen liittyvät julkaisut
Sovellukset kuormittivat laitteita jatkuvilla taustaprosesseilla, mikä johti merkittävään akkuvirran kulutukseen ja hidasti järjestelmän toimintaa. Lisäksi ne esittivät häiritseviä mainoksia, joita käyttäjien oli vaikeaa yhdistää mihinkään tiettyyn sovellukseen.
Check Pointin tutkijoiden mukaan GhostAd-kampanja erottui erityisesti siitä, että se ei käyttänyt perinteisiä haittaohjelmatekniikoita, vaan hyödynsi täysin Androidin sallimia toimintoja.
Sovellukset käynnistivät foreground-palvelun, joka piti prosessin aktiivisena esittämällä tyhjää ja käyttäjän poistettavaksi vaikeaa ilmoitusta. Samalla JobScheduler herätti mainosten lataus- ja näyttötehtäviä muutaman sekunnin välein, mikä muodosti itseään toistavan silmukan: vaikka järjestelmä yritti sulkea prosessin, seuraava ajoitus käynnisti sen jälleen. Tämä teki mainosmoottorista erityisen sitkeän ja vaikeasti havaittavan.
Tuloksena GhostAd tuotti jatkuvan, näkymättömän mainosten virran, joka kuormitti laitteen toimintaa ja kulutti tiedonsiirtoa ilman, että käyttäjä edes käytti sovellusta.
Sovellusten arvioissa Google Playssa raportoitiin jatkuvista ponnahdusikkunoista, laitteen ylikuumenemisesta sekä siitä, että sovelluksia ei voitu poistaa normaalisti.
Check Point ilmoitti havainnoistaan Googlelle, jonka jälkeen kaikki tunnistetut sovellukset poistettiin Play-kaupasta. Osa katosi jo ennen ilmoitusta.
Google on myös vahvistanut, että sen Play Protect -palvelu estää ja poistaa sovelluksia käyttäjien laitteista, mikäli ne vielä löytyvät niistä.
Check Pointin tutkijat toteavat, että GhostAd-tapaus on jälleen muistutus siitä, että myös virallisista sovelluskaupoista ladatut sovellukset voivat aiheuttaa merkittävän turvallisuusriskin.
