Спецпроекты

Avast обнаружила в Google Play приложения с вредоносной рекламой, скачанные более 30 млн раз

Безопасность Стратегия безопасности Пользователю Мобильность epson

Avast обнаружила в Google Play 40 приложений, зараженных вредоносным рекламным ПО. Угрозы удалось выявить при помощи мобильной платформы apklab.io, принадлежащей Avast, которая призвана анализировать угрозы для мобильных устройств. За все время было установлено от 5 тыс. до 5 млн зараженных приложений, которые Avast относит к категории TsSdk. Рекламный софт постоянно демонстрировал пользователям полноэкранные рекламные объявления, а в некоторых случаях призывал установить дополнительные приложения.

Такие рекламные зловреды связаны друг с другом посредством сторонних библиотек на Android, которые обходят ограничения фоновых сервисов Android даже в самых новых версиях операционной системы. Такой обход правил магазина не запрещен, однако Avast относит такие программы к классу нежелательных (Android:Agent-SEB [PUP]), так как они увеличивают расход батареи и замедляют устройство пользователя. Программы непрерывно используют базы данных и показывают все больше и больше рекламы пользователям, тем самым нарушая правила Google Play.

Avast связался с представителями компании Google с целью привлечь их внимание к проблеме и удалить приложения. Специалисты Avast также указали на сходство с TsSdk, так как он встречался еще в самых первых версиях рекламного программного обеспечения.

С помощью платформы apklab.io компании Avast удалось выявить две версии TsSdk в Google Play, которые имели в своей структуре один и тот же код. Более старая версия была установлена 3,6 млн раз и была встроена в ряд простых игр, а также в фоторедакторы и фитнес-приложения. Больше всего загрузок наблюдается в Индии, Индонезии, Пакистане, Бангладеш и Непале.

Сразу после установки большинство приложений, содержащих более старые версии TsSdk, работают так, как и заявлялось в описании Google Play. Однако на рабочем столе появляются дополнительные ярлыки и пользователю демонстрируется большое количество рекламных объявлений при включении дисплея, а также непосредственно во время использования устройства. В некоторых случаях код приложения может содержать задачу на установку сторонних приложений, информация о которых активно показывается пользователю. Кроме того, на рабочем столе зараженного вирусом смартфона может появится ярлык Game Center, который открывает страницу, содержащую ссылки на рекламируемые игры.

Программа с именем H5GameCenter уже появлялась в прошлогоднем отчете Avast о предустановленном рекламном ПО Cosiloon. Однако сотрудники компании Avast до конца не уверены, связаны ли они друг с другом.

Новая версия рекламного ПО была установлена в 28 млн приложений, в том числе фитнес- и музыкальных сервисах. Немного изменилась и география установок: самыми популярными местами для приложений с рекламой стали Филиппины, Индонезия, Малайзия, Бразилия и Великобритания. В целом, можно отметить более сильную защиту кода, так как в нем используется Tencent packer, который достаточно сложно расшифровать аналитикам, но который все еще легко отслеживается apklab.io.

Эта версия отличается от предыдущей в первую очередь тем, что имеет в себе алгоритмы проверки некоторых факторов перед отображением полноэкранной рекламы. Например, программа может срабатывать только в случае, если пользователь установил приложение, нажав на рекламу на Facebook. Рекламный вирус отслеживает это с помощью специальной функции, названной deferred deep linking.

Рекламные объявления показываются только в первые четыре часа после установки приложения, а затем регулярность их появления сильно уменьшается.

Так, в первые четыре часа полноэкранная реклама появляется с произвольной периодичностью, когда устройство разблокировано, либо каждые 15 минут в течение первого часа, а далее – каждые 30 минут.

Новая форма вредоносного ПО не работает на Android 8.0 и более современных версиях операционной системы в силу изменений в политике безопасности, содержащихся в каждом новом обновлении.

Многие приложения, содержащие в себе более старую версию рекламного ПО, были уже давно замечены в магазине и удалены компанией Google, как, например, фоторедактор Pro Piczoo, который был установлен более одного миллиона раз.



Стратегия месяца

Зачем государство ввязалось в гонку технологических вооружений

Михаил Замыцкий

директор по развитию «Ситилинк»

Взгляд месяца

Самая непростая ситуация — с импортозамещением СУБД

Денис Терещенко

заместитель руководителя ФТС