Приложения с вредоносной рекламой скачаны из Google Play более 30 млн раз

25 апрель, 2019 - 10:05

Приложения с вредоносной рекламой скачаны из Google Play более 30 млн раз

Компания Avast обнаружила в Google Play сорок приложений, зараженных вредоносным рекламным ПО. Угрозы удалось выявить при помощи мобильной платформы apklab.io, принадлежащей Avast, которая призвана анализировать угрозы для мобильных устройств. За все время было установлено от 5 тыс. до 5 млн копий зараженных приложений, которые Avast относит к категории TsSdk. Рекламный софт постоянно демонстрировал пользователям полноэкранные рекламные объявления, а в некоторых случаях призывал установить дополнительные приложения.

Такие рекламные зловреды связаны друг с другом посредством сторонних библиотек на Android, которые обходят ограничения фоновых сервисов Android даже в самых новых версиях операционной системы. Такой обход правил магазина не запрещен, однако Avast относит такие программы к классу нежелательных (Android:Agent-SEB [PUP]), так как они увеличивают расход батареи и замедляют устройство пользователя. Программы непрерывно используют базы данных и показывают все больше и больше рекламы пользователям, тем самым нарушая правила Google Play.

Avast связался с представителями компании Google с целью привлечь их внимание к проблеме и удалить приложения. Специалисты Avast также указали на сходство с TsSdk, так как он встречался еще в самых первых версиях рекламного ПО.

С помощью платформы apklab.io компании Avast удалось выявить две версии TsSdk в Google Play, которые имели в своей структуре один и тот же код. Более старая версия была установлена 3,6 млн раз и была встроена в ряд простых игр, а также в фоторедакторы и фитнес-приложения. Больше всего загрузок наблюдается в Индии, Индонезии, Пакистане, Бангладеш и Непале.

Сразу после установки большинство приложений, содержащих более старые версии TsSdk, работают так, как и заявлялось в описании Google Play. Однако на рабочем столе появляются дополнительные ярлыки и пользователю демонстрируется большое количество рекламных объявлений при включении дисплея, а также непосредственно во время использования устройства. В некоторых случаях код приложения может содержать задачу на установку сторонних приложений, информация о которых активно показывается пользователю. Кроме того, на рабочем столе зараженного вирусом смартфона может появится ярлык Game Center, который открывает страницу, содержащую ссылки на рекламируемые игры.

Новая версия рекламного ПО была установлена в 28 млн приложений, в том числе фитнес– и музыкальных сервисах. Немного изменилась и география установок: самыми популярными местами для приложений с рекламой стали Филиппины, Индонезия, Малайзия, Бразилия и Великобритания. В целом, можно отметить более сильную защиту кода, так как в нем используется Tencent packer, который достаточно сложно расшифровать аналитикам, но который все еще легко отслеживается apklab.io.

Эта версия отличается от предыдущей в первую очередь тем, что имеет в себе алгоритмы проверки некоторых факторов перед отображением полноэкранной рекламы. Например, программа может срабатывать только в случае, если пользователь установил приложение, нажав на рекламу на Facebook. Рекламный вирус отслеживает это с помощью специальной функции, названной deferred deep linking.

Рекламные объявления показываются только в первые четыре часа после установки приложения, а затем регулярность их появления сильно уменьшается.

Новая форма вредоносного ПО не работает на Android 8.0 и более современных версиях операционной системы в силу изменений в политике безопасности, содержащихся в каждом новом обновлении.