В Google Play снова обнаружили рекламные приложения, загруженные около 100 000 000 раз

Avast

Эксперты компании Avast предупредили об обнаружении в официальном каталоге Google Play 50 приложений, зараженных вредоносным рекламным ПО. Малварь получила название TsSdk, и  зараженные приложения были установлены от 5 000 до 5 000 000 раз, и постоянно демонстрировали пользователям полноэкранные рекламные объявления, а в некоторых случаях предлагали установить дополнительные продукты.

Рекламная малварь связана друг с другом посредством сторонних библиотек на Android, которые обходят ограничения фоновых сервисов Android даже в самых новых версиях операционной системы. Такой обход правил каталога не запрещен, однако Avast относит такие программы к классу нежелательных, так как они увеличивают расход батареи и замедляют устройство пользователя. Программы непрерывно используют базы данных и показывают все больше и больше рекламы пользователям, тем самым нарушая правила Google Play Store.

С помощью платформы apklab.io исследователям удалось выявить две версии TsSdk в Play Store, которые имели в своей структуре один и тот же код. Более старая версия была установлена 3,6 млн раз и ее встраивали в простые игр, а также в фоторедакторы и фитнес-приложения. Больше всего загрузок было обнаружено в Индии, Индонезии, Пакистане, Бангладеше и Непале.

Приложение с первой версией TsSDK

Сразу после установки большинство приложений, содержащих более старые версии TsSdk, работают так, как и заявлено в их описании. Однако на рабочем столе при этом появляются дополнительные ярлыки, пользователю демонстрируется большое количество рекламных объявлений при включении дисплея, а также непосредственно во время использования устройства. В некоторых случаях код приложения может содержать задачу на установку сторонних приложений, информация о которых активно показывается пользователю. Кроме того, на рабочем столе зараженного устройства может появиться ярлык Game Center, который открывает страницу, содержащую ссылки на рекламируемые игры: h5games[.]top.

Приложения, зараженные новой версией TsSdk были установлены около 28 000 000 раз, и это были продукты, связанные с музыкой и финтесом. Немного изменилась и география установок: самыми популярными местами для приложений с рекламой стали Филиппины, Индонезия, Малайзия, Бразилия и Великобритания.

Эту версию отличает более надежная защита кода, так как в нем используется Tencent packer, который достаточно сложно расшифровать аналитикам. Также эта версия малвари отличается от предыдущей в первую очередь тем, что проверяет некоторые факторы перед отображением полноэкранной рекламы. Например, вредонос может срабатывать только в случае, если пользователь установил приложение, нажав на рекламу на Facebook. Рекламный вирус отслеживает это с помощью специальной функции deferred deep linking.

Рекламные объявления показываются жертве только в первые четыре часа после установки приложения, а затем регулярность их появления сильно уменьшается. Так, в первые четыре часа полноэкранная реклама появляется с произвольной периодичностью, когда устройство разблокировано, либо каждые 15 минут в течение первого часа, а далее каждые 30 минут.

Данная форма вредоносного ПО не работает на Android 8.0 и более современных версиях операционной системы в силу изменений в политике безопасности, содержащихся в каждом новом обновлении. Многие приложения, содержащие в себе более старую версию рекламного ПО, были давно замечены в Play Store и удалены компанией Google, как, например, фоторедактор Pro Piczoo, который был установлен более одного миллиона раз.

Check Point

Специалисты компании Check Point, в свою очередь, обнаружили в Google Play шесть приложений, зараженных малварью PreAMo. Данный вредонос имитирует клики живого человека по рекламным баннерам сторонних рекламных агентств (Presage, Admob и Mopub) с помощью функциональности MotionEvent.

В общей сложности эти приложения были загружены более 90 000 000 раз. Самым популярным их них было приложение Selfie Camera, скачанное 57 000 000 раз.

Приложение Кол-во загрузок из Google Play
com.pic.mycamera 57 млн
com.omni.cleaner 48 млн
com.speedbooster.optimizer 24 млн
com.rambooster.totalcleaner 15 млн
com.cooler.smartcooler 12 млн
com.flashlight.torch.screenlight.party 3,4 млн

По сути, PreAMo состоит из трех разных частей, каждая из которых отвечает за работу с конкретным рекламным агентством. Они практически никак не связаны между собой, а в действие их приводят совсем разные триггеры. Однако у этих частей малвари есть и «общий знаменатель» — управляющий сервер res.mnexuscdn[.]com, который используется для передачи статистики и получения новых конфигураций.

Сообщается, что к настоящему моменту инженеры Google уже приняли меры и удалили приложения-кликеры из каталога Google Play.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.