Pesquisa de Ameaças

Avast descobre 47 apps infectados na Play Store com mais de 15 milhões de downloads

Jakub Vávra, 25 Junho 2020

Os pesquisadores da Avast descobrem 47 aplicativos na Google Play Store com anúncios intrusivos e recursos invasivos

Os pesquisadores da Avast descobriram uma grande campanha da HiddenAds (propagandas ocultas, em tradução livre) na Play Store. A HiddenAds é uma família de cavalos de Troia (ou trojans) que se disfarçam de aplicativos úteis e seguros, mas, na verdade, servem apenas para exibir anúncios intrusivos aos usuários. Os aplicativos descobertos se disfarçam de jogos, acionam um temporizador que oculta o ícone do aplicativo nos lançadores, e possuem a capacidade de exibir anúncios em todo o dispositivo. Os aplicativos têm mais de 15 milhões de downloads combinados na Play Store.

A detecção inicial foi feita por meio de semelhanças com uma campanha anterior da HiddenAds que também estava presente na Play Store. Após uma análise profunda do aplicativo por meio da plataforma apklab.io*, os pesquisadores da Avast foram capazes de identificar uma campanha mais ampla de 47 aplicativos que compartilhavam atividades, recursos e tráfego de rede.

Ficou evidente que esses aplicativos estão atrapalhando a experiência do usuário com base nas análises da Play Store. Tudo isso combinado com a capacidade de os aplicativos de ocultarem seus ícones e exibirem anúncios fora do aplicativo, confirmou que eles fazem parte da família HiddenAds.

Aplicativos como esses são considerados adwares, um tipo de malware que o bombardeia as vítimas com anúncios intrusivos e insistentes, podendo também roubar suas informações pessoais, rastrear você na internet e muitas outras ações malignas.

Recursos a serem observados

O principal recurso compartilhado entre esses aplicativos é a aparência de um jogo para celular. Pesquisas posteriores mostraram que os jogos geralmente são um pacote de uma versão mais antiga do jogo original, com camadas adicionais de anúncios e a capacidade de ocultar ícones. Depois que o usuário baixa o aplicativo, um cronômetro é iniciado dentro do aplicativo. O usuário poder jogar por um tempo, após o qual o temporizador aciona o recurso que oculta o ícone do aplicativo.

Depois que o ícone está oculto, o aplicativo começa a exibir anúncios em todo o dispositivo sem precisar de mais ações do usuário. Os aplicativos podem recorrer a outros aplicativos para exibir anúncios com um cronômetro que impede que sejam ignorados. Vários aplicativos até abrem o navegador para exibir anúncios intrusivos.

Por ter seu ícone oculto, o usuário não tem certeza sobre a origem dos anúncios. O aplicativo ainda pode ser desinstalado por meio do gerenciador de aplicativos do dispositivo, mas exige que o usuário pesquise a origem dos anúncios.

Outro atributo compartilhado desses aplicativos é que o desenvolvedor tem apenas um aplicativo no seu perfil e usa um endereço de e-mail genérico. Da mesma forma, os Termos de Serviço são idênticos nos aplicativos descobertos, provavelmente apontando para uma campanha organizada por um cibercriminoso.

Os comentários mostram a frustração dos usuários que baixaram os aplicativos:

Propagação

Juntos, os aplicativos foram baixados mais de 15 milhões de vezes:

App Name

Downloads

Draw Color by Number

1,000,000

Skate Board - New

1,000,000

Find Hidden Differences

1,000,000

Shoot Master

1,000,000

Spot Hidden Differences 

500,000

Dancing Run - Color Ball Run 

500,000

Find 5 Differences

500,000

Joy Woodworker

500,000

Throw Master

500,000

Throw into Space

500,000

Divide it - Cut & Slice Game

500,000

Tony Shoot - NEW 

500,000

Assassin Legend

500,000

Stacking Guys 

500,000

Save Your Boy 

500,000

Assassin Hunter 2020

500,000

Stealing Run

500,000

Fly Skater 2020

500,000

Disc Go!

500,000

Com base na pesquisa realizada, parece que a campanha inicialmente segmentou principalmente usuários na Índia e no Sudeste Asiático. É provável que os aplicativos se espalhem por anúncios de jogos focados nessas regiões. Devido aos detalhes genéricos do desenvolvedor e aos Termos de Serviço, os desenvolvedores da campanha HiddenAds permanecem desconhecidos.

Isto foi um instantâneo da propagação inicial, mas a prevalência atual desses aplicativos é diferente. Com base nas estatísticas internas da Avast, esta campanha HiddenAds é mais atualmente prevalente no Brasil, Índia e Turquia.

Percentual de propagação de usuários do Avast por país que baixaram pelo menos um dos aplicativos HiddenAds nas últimas duas semanas

google-1592941295997-1
A propagação inicial por outras regiões, que pode ser vista no mapa acima, provavelmente é um "efeito colateral" causado pela presença dos aplicativos na Play Store. No momento desta publicação, o Google removeu 30 dos aplicativos da sua loja.

Para evitar o download de aplicativos maliciosos na Play Store, siga estas cinco etapas simples:

  • Verifique cuidadosamente as permissões solicitadas pelo aplicativo antes de instalá-lo. Veja o que o aplicativo está pedindo para acessar. Se o aplicativo estiver solicitando acessos que não deveria para o seu funcionamento normal, pode ser uma luz vermelha.
  • Leia a política de privacidade e os termos e condições.
  • Leia as opiniões dos usuários. Se houver um grande número de críticas negativas, convém reconsiderar o download do aplicativo.
  • Faça o download de um aplicativo antivírus no seu dispositivo móvel, como o Avast Mobile Security, para que adwares e outros aplicativos maliciosos sejam identificados e bloqueados automaticamente e em tempo real.

A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.