Анализ угроз

Неприятный сюрприз в приложениях Google Play

Threat Intelligence Team, 29 мая 2019

Поток агрессивного рекламного ПО — в музыкальных, фото- и фитнес-приложениях — не прекращается. Обнаруженные нами программы были скачаны более 5 млн раз.

Не так давно мы в очередной раз обнаружили вредоносные приложения в Google Play. 50 приложений с adware (рекламным ПО) были обнаружены с помощью apklab.io — разработанной нами платформой, которая анализирует угрозы для мобильных устройств.

Количество установок данных приложений варьируется от 5 тысяч и доходит до 5 миллионов. Рекламное ПО может сильно досаждать, поскольку настойчиво показывает пользователю полноэкранные рекламные объявления, а в некоторых случаях пытается убедить установить дополнительные приложения.

Все приложения с adware используют сторонние библиотеки Android, которые обходят имеющиеся в более новых версиях ОС Android ограничения фоновых служб. Хотя сам по себе обход прямо не запрещен в Google Play, Avast относит такие программы к группе Android:Agent-SEB [PUP], поскольку они приводят к замедлению работы устройств и быстрой разрядке аккумулятора. Описанные в статье приложения использовали библиотеки, чтобы постоянно показывать все больше и больше рекламы, что запрещено правилами магазина Google Play.

Рекламное ПО, в основе которого лежит использование библиотек, мы называем TsSdk, поскольку этим термином называли первую версию рекламных программ.

В ходе исследования наши специалисты обнаружили, что прежде чем данные adware удалили из магазина Google Play, они были установлены около 30 миллионов раз. Мы связались с Google, и все исследованные приложения были удалены из магазина до выхода этой статьи.

С помощью платформы apklab.io мы обнаружили в Google Play пока две версии TsSdk. Все они имеют один и тот же код. Ниже мы опишем самой старой и самой новой версии рекламного ПО.

Вариант 1

Самая старая версия TsSdk, которую мы будем называть вариантом 1, была установлена 3,6 млн раз. Рекламное ПО было встроено в простые игры, фитнес-приложения и фоторедакторы.

Чаще всего эту версию устанавливали пользователи из Индии, Индонезии, Филиппин, Пакистана, Бангладеша и Непала.

Google Play

Выше представлен пример одного из приложений, содержащих TsSDK.

После установки приложения этой версии, казалось бы, работают, как заявлено на их страницах в Google Play, но с дополнительным неприятным сюрпризом: на начальном экране появляются ярлыки приложений и службы Game Center, а при включении экрана пользователю демонстрируются назойливые полноэкранные рекламные объявления. В некоторых версиях первого варианта рекламные объявления периодически отображаются и во время использования устройства. В данном видео продемонстрирован принцип работы.

Код этой версии не очень запутан, и найти в нем комплект средств разработки (SDK) рекламного ПО не составило труда. Из двух версий эта менее распространена. В некоторых вариантах содержится код, обеспечивающий скачивание дополнительных приложений, побуждая пользователя установить их.

Самое интересное в данном варианте вредоносного ПО — это что большинство исследованных приложений устанавливали на начальный экран зараженного устройства ярлык службы Game Center, который открывает страницу с рекламой различных игр: http://h5games.top/.

Game Center

Это интересно, поскольку название H5GameCenter уже встречалось в предустановленной вредоносной программе Cosiloon, о которой мы сообщали в прошлом году. Связаны ли они между собой? Мы точно не знаем. Возможно, связь между ними есть, а может быть, разработчики приложения Game Center купили рекламу в программах Cosiloon и TsSdk.

Вариант 2

Следующая по хронологии версия TsSdk, которую мы назовем вариантом 2, была установлена почти 28 миллионов раз. Рекламное ПО было встроено в фитнес- и музыкальные приложения.

Чаще всего их устанавливали пользователи из Филиппин, Индии, Индонезии, Малайзии, Бразилии, Непала и Великобритании.

Кажется, разработчики этой версии рекламного ПО приложили немного больше усилий — она выглядит новее и уровень защиты кода выше. Код рекламного ПО зашифрован с помощью упаковщика Tencent, поэтому его достаточно сложно распаковать аналитикам, но он легко отслеживается во время динамического анализа на платформе apklab.io.

На наших устройствах реклама не отображалась, так как второй вариант выполняет несколько проверок, прежде чем развернуть функционал полноэкранных объявлений. Первое, что следует отметить: рекламное ПО активируется, только если пользователь установит приложение, нажав на рекламу в Facebook. Приложение может это обнаружить с помощью функции комплекта средств разработки Facebook SDK, которая называется «отсроченный переход по диплинку».

Реклама в Facebook у нас не отображалась. Но мы искали зараженные приложения в магазине Google Play, поэтому рекламные объявления и не демонстрировались.

private void deep code

 

Flytunesads

Кроме того, adware показывает рекламные объявления только в течение первых четырех часов с момента установки приложения, а затем это происходит гораздо реже. Изучив код, мы узнали, что в течение первых четырех часов полноэкранные рекламные объявления демонстрируются произвольно, если телефон разблокирован, или каждые 15 минут: в 15, 30 и 45 минут каждого часа. Последнее указанное в коде время вызывает улыбку: похоже, там, где живет разработчик, в часе 61 минута (в выделенном коде должно было быть :00).

public void on receive code-1

Второй вариант, по-видимому, не работает на ОС Android 8.0 и более новых версиях, поскольку в них изменено управление фоновыми службами. Однако на момент написания статьи почти в 80% устройств используются старые версии ОС Android.

Это еще один повод вовремя выполнять обновления.

Хотя на наших устройствах реклама не демонстрировалась, в коде четко установлена задача показывать навязчивую рекламу, и отзывы не оставляют в этом сомнений.

prntscrn

Исследованные приложения

Из-за большого количества исследованных приложений мы выбрали только самые новые APK из каждого приложения и указали в данной таблице.

Снимки экрана из магазина Google Play и страниц Facebook вы можете увидеть здесь.

Следует учесть, что в магазине Google Play было много приложений варианта 1, но компания Google удалила их до завершения нашего исследования (в том числе приложение Pro Piczoo, установленное более 1 млн раз).

Как избежать установки рекламного ПО

  • Установите надежный антивирус, который сможет защитить вас от рекламного ПО.

  • Соблюдайте осторожность при скачивании приложений.

    Прежде чем установить новое приложение, внимательно прочтите как положительные, так и отрицательные отзывы. Обращайте внимание на отзывы, в которых говорится, работает ли приложение так, как заявлено. Если вы видите отзывы типа «это приложение не делает то, что обещает» или «в этом приложении рекламное ПО», подумайте дважды, стоит ли скачивать это приложение. Подобные отзывы указывают: что-то здесь не так.

  • Всегда внимательно проверяйте, есть ли смысл в предоставлении приложению тех или иных разрешений.

    Нужен ли калькулятору доступ к списку контактов? Неправильно предоставив разрешение, вы можете отправить киберпреступникам личные данные, в том числе сохраненные на устройстве контакты, медиафайлы и сообщения личного чата. Если что-то кажется необычным или выходит за рамки того, что представляется уместным, скачивать приложение нельзя.

Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter