Una nueva campaña de adware fue descubierta en los últimos días. Conocida con el nombre 'Android/AdDisplay.Ashas', consta de 42 aplicaciones de Google Play y 21 de ellas aún se encontraban disponibles al inicio de la investigación que dio cuenta de este virus.

"El equipo de seguridad de Google eliminó todas estas aplicaciones una vez informamos de ello pero siguen disponibles en otras tiendas de terceros", explicó Lukas Stefanko, investigador de malware en ESET, la empresa de seguridad informática que descubrió esta campaña.

Las aplicaciones implicadas ofrecían funciones como la descarga de videos, juegos sencillos o emisoras de radio, pero su objetivo real es mostrar anuncios a la víctima. Para conseguir la confianza del usuario y evitar su detección, llevan a cabo varias medidas.

Primero, analizan los mecanismos de seguridad de Google Play, pero también retrasan la publicación de los anuncios hasta 24 minutos después de desbloquear el dispositivo para no ser asociados con la aplicación infectada. Además, esconden su icono y crean atajos de acceso.

 
Los anuncios se muestran a pantalla completa y si el usuario quiere comprobar quién está detrás de la app, el malware se hace pasar por Google o Facebook. "El adware suplanta estas dos aplicaciones como legítimas para evitar sospechas y permanecer en el dispositivo el mayor tiempo posible", agregó Stefanko.

Una de las peculiaridades de esta familia de adware es que esconde su código bajo el nombre del paquete 'com.google.xxx'. "Hacerse pasar por un servicio legítimo de Google puede ayudar a la 'app' a evitar su análisis, ya que algunos mecanismos de detección y 'sandboxes' agregan a sus listas blancas este tipo de nombres de paquete para evitar consumir recursos", concluyó el especialista.

Analizando el adware, los investigadores de ESET se dieron cuenta de que el desarrollador había dejado ciertas huellas y pudieron identificarlo como el operador de la campaña y propietario del servidor de mando y control.