24 апреля 2019г., Москва — компания Avast (LSE: AVST), мировой лидер в области продуктов для цифровой безопасности, обнаружила в Google Play 40 приложений, зараженных вредоносным рекламным ПО. Угрозы удалось выявить при помощи мобильной платформы apklab.io, принадлежащей Avast, которая призвана анализировать угрозы для мобильных устройств. За все время было установлено от 5 тысяч до 5 миллионов зараженных приложений, которые Avast относит к категории TsSdk. Рекламный софт постоянно демонстрировал пользователям полноэкранные рекламные объявления, а в некоторых случаях призывал установить дополнительные приложения.       

Такие рекламные зловреды связаны друг с другом посредством сторонних библиотек на Android, которые обходят ограничения фоновых сервисов Android даже в самых новых версиях операционной системы. Такой обход правил магазина не запрещен, однако Avast относит такие программы к классу нежелательных (Android:Agent-SEB [PUP]), так как они увеличивают расход батареи и замедляют устройство пользователя. Программы непрерывно используют базы данных и показывают все больше и больше рекламы пользователям, тем самым нарушая правила Google Play Store.

Avast связался с представителями компании Google с целью привлечь их внимание к проблеме и удалить приложения. Специалисты Avast также указали на сходство с TsSdk, так как он встречался ещё в самых первых версиях рекламного программного обеспечения.   

Происхождение

С помощью платформы apklab.io компании Avast удалось выявить две версии TsSdk в Play Store, которые имели в своей структуре один и тот же код. Более старая версия была установлена 3,6 млн раз и была встроена в ряд простых игр, а также в фоторедакторы и фитнес-приложения. Больше всего загрузок наблюдается в Индии, Индонезии, Пакистане, Бангладеше и Непале.   

Сразу после установки большинство приложений, содержащих более старые версии TsSdk, работают так, как и заявлялось в описании Google Play. Однако на рабочем столе появляются дополнительные ярлыки и пользователю демонстрируется большое количество рекламных объявлений при включении дисплея, а также непосредственно во время использования устройства. В некоторых случаях код приложения может содержать задачу на установку сторонних приложений, информация о которых активно показывается пользователю. Кроме того, на рабочем столе зараженного вирусом смартфона может появится ярлык Game Center, который открывает страницу, содержащую ссылки на рекламируемые игры: http://h5games.top/.

Программа с именем H5GameCenter уже появлялась в прошлогоднем отчете Avast о предустановленном рекламном ПО Cosiloon. Однако сотрудники компании Avast до конца не уверены, связаны ли они друг с другом.

Обновленная версия кода

Новая версия рекламного ПО была установлена в 28 миллионах приложений, в том числе фитнес и музыкальных сервисах. Немного изменилась и география установок: самыми популярными местами для приложений с рекламой стали Филиппины, Индонезия, Малайзия, Бразилия и Великобритания. В целом, можно отметить более сильную защиту кода, так как в нем используется Tencent packer, который достаточно сложно расшифровать аналитикам, но который всё ещё легко отслеживается apklab.io.

Эта версия отличается от предыдущей в первую очередь тем, что имеет в себе алгоритмы проверки некоторых факторов перед отображением полноэкранной рекламы. Например, программа может срабатывать только в случае, если пользователь установил приложение, нажав на рекламу на Facebook. Рекламный вирус отслеживает это с помощью специальной функции, названной deferred deep linking.  

Рекламные объявления показываются только в первые четыре часа после установки приложения, а затем регулярность их появления сильно уменьшается.
Так, в первые четыре часа полноэкранная реклама появляется с произвольной периодичностью, когда устройство разблокировано, либо каждые 15 минут в течение первого часа, а далее каждые 30 минут.   

Новая форма вредоносного ПО не работает на Android 8.0 и более современных версиях операционной системы в силу изменений в политике безопасности, содержащихся в каждой новом обновлении. 

Многие приложения, содержащие в себе более старую версию рекламного ПО, были уже давно замечены в Play Store и удалены компанией Google, как, например фоторедактор Pro Piczoo, который был установлен более одного миллиона раз. 

Как избежать вредоносное рекламное ПО

• Проявляйте бдительность при установке приложений. Читайте обзоры, перед тем как скачать себе на смартфон новую программу или игру, при этом обращайте внимание не только на положительные отзывы, но и на отрицательные. Причем неважно, посвящен ли обзор функционалу или нет, он все равно будет полезен. Если обзор на приложение включает в себя фразы «оно не работает так, как было заявлено» или «здесь одна реклама» — это явный намек отменить установку. Эти и подобные комментарии сигнализируют о том, что что-то идет не так.
• Всегда внимательно изучайте, к чему приложение запрашивает доступ. Если не уделять этому должного внимания, однажды вы передадите ваши личные данные, такие как контакты, фотографии и видео, интернет-мошенникам. Лучше не устанавливать приложение, если что-то связанное с ним кажется вам подозрительным и лишним.
• Используйте проверенные антивирусы. Они, выполняя функции защищенной сети, могут обнаружить приложения с нежелательным рекламным программным обеспечением и предостеречь пользователей от установки таких приложений.