Эксперты компании ESET вычислили автора 42 приложений, которые размещались в Google Play и демонстрировали пользователям навязчивую рекламу. Суммарно приложения, содержавшие adware Android/AdDisplay.Ashas, были установлены более 8 000 000 раз.
Исследователи пишут, что приложения не сразу были заражены Ashas. Очевидно, малварь появилась в коде со временем, когда разработчик решил превратить свой законный бизнес по разработке приложений не совсем легальный рекламный бизнес, демонстрируя пользователям полноэкранные объявления, поверх окон других приложений.
Разработчик приложил усилия для маскировки вредоносной деятельности своих продуктов. Так, реклама начинала появляться не раньше чем через 24 минуты после взаимодействия с зараженным приложением и зачастую пыталась ввести жертву в заблуждение, так как содержала логотипы других приложений, например, Google Play Store.
По данным ESET, за разработкой 42 зараженных приложений стоит студент из Вьетнама, чье имя исследователи не раскрывают. Он начал загружать малварь в официальный каталог еще в июле 2018 года, и на момент обнаружения угрозы исследователями 21 приложение по-прежнему было активно.
Поскольку студент начинал с разработки и публикации «чистых» приложений, он не предпринял никаких мер предосторожности, чтобы скрыть свою личность в ранних версиях своих продуктов. В итоге экспертам удалось связать email-адреса, которые он использовал для регистрации рекламных доменов, с его личными аккаунтами на GitHub, YouTube и, в конечном счете, в Facebook.
В настоящее время все рекламные приложения были удалены из Google Play. Но неизвестно, столкнется ли вьетнамский студент с последствиями свои действий, ведь правоохранительные органы редко занимаются делами, связанными с рекламным мошенничеством (а если занимаются, то преследуют крупных игроков, которые крадут миллионы долларов).