追踪影响数百万用户的Android广告软件开发人员(2)

由于域名注册人所在大学没有很强的隐私保护系统，可以进一步了解到注册人的出生日期（也可能是注册人以出生年月作为其Gmail地址的一部分，有待进一步确认）。由此可以知道他是一名学生，并且他上过什么大学，还可以确认他提供给域名注册商的电话号码是真实的。此外，研究人员检索了他的大学ID，快速搜索可以显示他的一些考试成绩。但是，他的研究结果超出了研究人员的研究范围。

根据注册人的电子邮件地址，能够找到他的GitHub存储库。他的存储库证明他确实是一名Android开发人员，但在撰写此博文时，它不包含Ashas广告软件的公开可用代码。

但是，通过简单的Google搜索广告软件包名称弹出了一个“ TestDelete”项目，某段时间该项目在他的存储库是可用的

恶意程序开发者还在Apple的App Store中拥有应用程序。其中一些是从Google Play删除的iOS版本，但没有一个包含广告软件功能。

在进一步搜索恶意程序开发人员的活动时，研究人员还发现了他的YouTube频道，传播Ashas广告软件和他的其他项目。至于Ashas这类软件，相关的宣传视频之一“ Head Head World World Champion 2018 – Android，iOS”被观看了近300万次，另外两个获得了数十万次观看。

他的YouTube频道为研究人员提供了另一条有价值的信息——他本人在他的其他项目之一的视频教程中。通过该项目，研究人员提取了他的Facebook个人资料，列出了他在上述大学的学习情况。

通过链接到他的Facebook个人资料，研究人员发现了一个Facebook页面Minigameshouse和一个相关域minigameshouse [.]net。该域和广告软件C＆C服务器开发人员的minigameshouse [.]us域十分相似。

进一步检查此Minigameshouse页面，表明此人确实是minigameshouse [.] us域的所有者：在此域中注册的电话号码与Facebook页面上显示的电话号码相同。

有趣的是，他在Minigameshouse的 Facebook页面上，推广了Ashas软件以外的一系列游戏，可在Google Play和App Store中下载。尽管其中一些不包含任何广告软件功能，但所有这些都已从Google Play中删除。

最重要的是，他的YouTube视频之一（有关为Facebook开发“小游戏”的教程）是完全被忽略的运营安全隐患。能够看到他最近访问的网站是包含Ashas广告软件的Google Play页面。他还使用他的电子邮件帐户登录了视频中的各种服务，毫无疑问，他确实是广告软件域的所有者。

借助该视频，我们甚至能够确定另外三个包含广告软件功能且可在Google Play上使用的应用。

ESET检测到Android设备上的Android / AdDisplay.Ashas（按国家/地区）

包含广告软件的应用程序通常会对用户隐藏，因此这些应用程序及其开发人员不可信任。当包含广告软件的应用程序安装在设备上时，可能会：

因为侵入性广告（包括骗局广告）惹恼用户

浪费设备的电池资源

产生更多的网络流量

收集用户的个人信息

自我隐藏以实现持久性

无需任何用户交互即可为其运营商创造收入

研究人员仅基于开源情报，就可以跟踪Ashas广告软件的开发人员并确定其身份，并发现其他受广告软件感染的相关应用程序。开发人员没有采取任何措施来保护自己的身份，乍看起来他没有什么其他的意图。确实，他发布的应用程序并非所有都包含讨厌的广告。

显而易见，开发人员通过在应用代码中实现广告软件功能来增加收入。广告软件中实现的各种隐身和恢复技术意味着他意识到了所添加功能的恶意性质，并试图将其隐藏。

在“恶意”开发人员中，常见的做法是将恶意功能混入流行的正常应用程序中，研究人员致力于跟踪此类应用程序，并将其报告给Google，采取措施制止这类恶意软件。研究人员发布了调查结果，帮助Android用户保护自己的设备。