原本正常使用的應用程序為何會突然出現廣告？

這一切都要從一名越南大學生說起。

有趣的是，在這起黑客事件中他並沒有選擇隱藏自己的身份。

惡意軟件背後：越南大學生黑客

近日，研究人員在Google Play中發現了42個包含惡意廣告的應用程序，總共下載了超過800萬次。

這些軟件在Google Play中以合法軟件的形式發佈，但是惡意廣告卻隱藏在後來的更新中。

由於Google Play會公開展示應用程序註冊的詳細信息，於是ESET的研究人員順藤摸瓜，發現這些軟件的開發者都是同一個人，是一名越南大學生，之後通過調查他的真實姓名、地址和電話號碼等，最終找到了他在Facebook，GitHub和YouTube上的個人帳戶。

這一點是讓人迷惑的，他並沒有採取任何方式來保護自己的身份，由此研究人員表示猜不到這個黑客的意圖。

但這些應用軟件的目的很明顯，通過應用軟件中的廣告功能來增加收入，研究人員將這系列的惡意軟件稱為“ Ashas ”。

Ashas可以連接到開發者的服務器上，由其進行遠程操控，可對受感染的設備執行命令和進行控制。

當用戶使用該應用程序時，這些App會開始與開發者的服務其進行遠程通信，發送受感染設備的關鍵數據，包括設備類型，操作系統版本，語言，已安裝的應用程序數量，可用存儲空間，電池狀態等。

惡意軟件的隱身技巧

為了更加長久地在受感染設備上潛伏，該黑客還使用了一些提高隱身性的技巧。

首先，為了在Google Play安全機制中隱藏其惡意功能，該應用程序首先會檢查受感染設備的IP地址，如果它位於Google服務器的已知IP地址範圍內，則不會觸發廣告軟件有效載荷。

其次，為了防止用戶將其他廣告與他的應用程序相關聯，開發者還添加了自定義延遲功能，廣告將在用戶與受感染的應用互動後超過24分鐘出現。

此外，這些應用程序還會在Android手機的菜單上隱藏其圖標，並創建快捷方式。

如果有用戶試圖卸載惡意程序，最終只有快捷方式會被刪除，該應用程序會在用戶不知情的情況下繼續在後臺運行。目前這種隱身術在黑客中越來越流行。

如果受影響的用戶點擊“最近使用的程序”來檢查是哪個應用程序正在投放廣告，則會顯示Facebook或Google等合法軟件的圖標以避免懷疑，從而誘使用戶以為廣告是由這些合法軟件顯示的。

這42種應用程序包含多種類型，例如Radio FM、視頻軟件或者遊戲等，因此受眾群較多。目前，Google已經從Play Store中刪除了有問題的應用。

如果您已經在Android設備上下載了上面列出的任何惡意軟件，請立即刪除。

而這名越南大學生黑客很可能不會承擔任何法律後果，執法機構很少追查廣告欺詐行為，就算有也是獲利百萬的大魚，而非個人引發的小打小鬧。

* 本文由看雪編輯 LYA 編譯自 The Hacker News，轉載請註明來源及作者。