Avast objevil s pomocí své platformy pro analýzu mobilních hrozeb apklab.io v obchodě Google Play 50 aplikací s prvky adwaru. Počet instalací těchto aplikací, které Avast nazývá TsSdk, se pohybuje v rozmezí od 5 tisíc do 5 milionů. Adware setrvale zobrazuje reklamy přes celý displej a v některých případech se snaží přesvědčit uživatele, aby instaloval další aplikace.

Aplikace s adwarem jsou propojeny použitím knihoven pro Android třetích stran, které obcházejí omezení služeb na pozadí obsažených v novějších verzích Androidu. I když toto obcházení jako takové obchod Play výslovně nezakazuje, Avast jej detekuje jako Android:Agent-SEB [PUP], i proto, že aplikace využívající tyto knihovny plýtvají baterií a zařízení zpomalují. V rozporu s pravidly obchodu Play aplikace využívají tyto knihovny k neustálému zobrazování stále většího počtu reklam.

Avast kontaktoval společnost Google s žádostí, aby tyto aplikace odstranila a pojmenoval tento adware TsSdk podle výrazu, který byl nalezen v první verzi adwaru.

Původní verze

Prostřednictvím apklab.io našel Avast v obchodě Play dvě verze TsSdk propojené stejným kódem. Starší z těchto dvou verzí byly instalovány více než 3600000krát a byly obsaženy v jednoduchých hrách i v aplikacích pro fitness a úpravy fotografií; nejčastěji byly instalovány v Indii, Indonésii, na Filipínách, v Pákistánu, Bangladéši a v Nepálu.

Ukázka jedné z aplikací obsahující TsSdk.

Po instalaci se zdá, že většina aplikací se starší verzi, funguje tak, jak je popsáno na jejich stránkách na Google Play. Navíc se však na domovské obrazovce objevují zástupci a při probuzení zařízení se zobrazují reklamy přes celou obrazovku. V některých případech se reklamy zobrazují pravidelně, když uživatel zařízení používá. V jiných případech aplikace obsahují kód, který je schopen stahovat další aplikace a žádat uživatele, aby je nainstalovali. Většina starších vzorků navíc přidávala na domovskou obrazovku infikovaného zařízení zástupce „Game Center“, který otevírá stránku propagující různé hry: http://h5games.top/. 

Název „H5GameCenter“ byl také součástí předinstalovaného škodlivého softwaru Cosiloon, o němž Avast informoval v loňském roce. Výzkumníci Avastu ještě sledují, zda jsou tyto dvě věci vzájemně propojeny.

Aktualizace kódu adwaru

Novější verze byla instalována 28000000krát a byla umístěna do aplikací pro hudbu a fitness. K zemím, kde byly aplikace instalovány nejvíce, patří Filipíny, Indie, Indonésie, Malajsie, Brazílie a Velká Británie. Kód nové verze je lépe chráněn; je zašifrován pomocí packeru Tencent, který je analytiky obtížně rozbalitelný, ale byl snadno zachycen dynamickou analýzou v apklab.io.

Tato verze provádí několik kontrol před nasazením celoobrazovkových reklam. V první řadě je adware spuštěn pouze v případě, že uživatel aplikaci nainstaluje kliknutím na reklamu na Facebooku. Aplikace to může poznat pomocí funkce Facebook SDK, které se říká „deferred deep linking“.

Adware zobrazuje reklamy pouze během prvních čtyř hodin od instalace aplikace a pak v mnohem menší míře. Z kódu víme, že během prvních čtyř hodin se reklamy přes celou obrazovku zobrazují náhodně, když je telefon odemčený, nebo každých 15 minut nebo vždy po uplynutí 15, 30 a 60 minut.

Nezdá se, že by novější verze adwaru fungovala na verzi Android 8.0 a vyšší, a to z důvodu změn ve správě služeb na pozadí v novějších verzích systému Android. Vzhledem k množství vzorků Avast vybral pouze nejnovější APK z každé aplikace a sepsal je do této tabulky.

Screenshoty z obchodu Google Play a stránek na Facebooku jsou k dispozici zde. Mnoho starších verzí adwaru bylo dříve v obchodě Play a Google je následně odstranil, včetně aplikace jménem Pro Piczoo, která byla nainstalována více než milionkrát.

Tipy, jak se vyhnout adwaru

• Při stahování aplikací buďte opatrní. Před instalací nové aplikace si přečtěte její pozitivní i negativní recenze. Všímejte si, zda recenzenti píšou, že aplikace dělá, co tvrdila, že bude dělat. Pokud recenze aplikace obsahuje komentáře jako „tato aplikace nedělá to, co slibuje“ nebo „tato aplikace je plná adwaru“, je třeba instalaci této aplikace přehodnotit. Takové recenze jsou ukazatelem toho, že něco není v pořádku.
• Vždy pečlivě zkontrolujte oprávnění aplikace a pečlivě uvažte, zda mají smysl. Poskytnutí nesprávných oprávnění může odeslat citlivá data kyberzločincům, včetně takových informací, jako jsou kontakty uložené v zařízení, mediální soubory nebo možnost nahlížet do osobních chatů. Pokud vám přijde, že požadovaná oprávnění jsou netypická nebo nevhodná, aplikaci raději nestahujte.
• Nainstalujte si důvěryhodnou antivirovou aplikaci. Antivirus funguje jako bezpečnostní síť a dokáže identifikovat aplikace, které jsou infikovány adwarem a chrání tak před nimi uživatele.