Avast objevil adware v Android aplikacích, které mají přes 30 milionů stažení

Avast objevil adware v Android aplikacích, které mají přes 30 milionů stažení
3
  • Avast objevil v obchodě Google Play 50 aplikací s prvky adwaru
  • Aplikace, které Avast nazývá TsSdk, stáhlo od 5 tisíc do 5 milionů uživatelů
  • Adware se projevuje tak, že setrvale zobrazuje reklamy přes celý displej a v některých případech se snaží přesvědčit uživatele, aby instaloval další aplikace
  • Avast již kontaktoval Google

Avast, jak oznamuje na blog.avast.com, objevil s pomocí své platformy pro analýzu mobilních hrozeb apklab.io v obchodě Google Play 50 aplikací s prvky adwaru. Počet instalací těchto aplikací, které Avast nazývá TsSdk, se pohybuje v rozmezí od 5 tisíc do 5 milionů.


Aplikace s adwarem jsou propojeny použitím knihoven pro Android třetích stran, které obcházejí omezení služeb na pozadí obsažených v novějších verzích Androidu. I když toto obcházení jako takové obchod Play výslovně nezakazuje, Avast jej detekuje jako Android:Agent-SEB [PUP], i proto, že aplikace využívající tyto knihovny plýtvají baterií a zařízení zpomalují. V rozporu s pravidly obchodu Play aplikace využívají tyto knihovny k neustálému zobrazování stále většího počtu reklam.

Avast kontaktoval společnost Google s žádostí, aby tyto aplikace odstranila a pojmenoval tento adware TsSdk podle výrazu, který byl nalezen v první verzi adwaru.

Původní verze

Prostřednictvím apklab.io našel Avast v obchodě Play dvě verze TsSdk propojené stejným kódem. Starší z těchto dvou verzí byly instalovány více než 3600000krát a byly obsaženy v jednoduchých hrách i v aplikacích pro fitness a úpravy fotografií; nejčastěji byly instalovány v Indii, Indonésii, na Filipínách, v Pákistánu, Bangladéši a v Nepálu.

Avast adware
Ukázka jedné z aplikací obsahující TsSdk.

Po instalaci se zdá, že většina aplikací se starší verzi, funguje tak, jak je popsáno na jejich stránkách na Google Play. Navíc se však na domovské obrazovce objevují zástupci a při probuzení zařízení se zobrazují reklamy přes celou obrazovku. V některých případech se reklamy zobrazují pravidelně, když uživatel zařízení používá. V jiných případech aplikace obsahují kód, který je schopen stahovat další aplikace a žádat uživatele, aby je nainstalovali. Většina starších vzorků navíc přidávala na domovskou obrazovku infikovaného zařízení zástupce „Game Center“, který otevírá stránku propagující různé hry.

Game Center

Název „H5GameCenter“ byl také součástí předinstalovaného škodlivého softwaru Cosiloon, o němž Avast informoval v loňském roce. Výzkumníci Avastu ještě sledují, zda jsou tyto dvě věci vzájemně propojeny.

Aktualizace kódu adwaru

Novější verze byla instalována 28000000krát a byla umístěna do aplikací pro hudbu a fitness. K zemím, kde byly aplikace instalovány nejvíce, patří Filipíny, Indie, Indonésie, Malajsie, Brazílie a Velká Británie. Kód nové verze je lépe chráněn; je zašifrován pomocí packeru Tencent, který je analytiky obtížně rozbalitelný, ale byl snadno zachycen dynamickou analýzou v apklab.io.

Tato verze provádí několik kontrol před nasazením celoobrazovkových reklam. V první řadě je adware spuštěn pouze v případě, že uživatel aplikaci nainstaluje kliknutím na reklamu na Facebooku. Aplikace to může poznat pomocí funkce Facebook SDK, které se říká „deferred deep linking“.

Deep linkining
Deep linkining

Adware zobrazuje reklamy pouze během prvních čtyř hodin od instalace aplikace a pak v mnohem menší míře. Z kódu víme, že během prvních čtyř hodin se reklamy přes celou obrazovku zobrazují náhodně, když je telefon odemčený, nebo každých 15 minut nebo vždy po uplynutí 15, 30 a 60 minut.

Avast adware

Nezdá se, že by novější verze adwaru fungovala na verzi Android 8.0 a vyšší, a to z důvodu změn ve správě služeb na pozadí v novějších verzích systému Android. Vzhledem k množství vzorků Avast vybral pouze nejnovější APK z každé aplikace a sepsal je do této tabulky.

Screenshoty z obchodu Google Play a stránek na Facebooku jsou k dispozici zde. Mnoho starších verzí adwaru bylo dříve v obchodě Play a Google je následně odstranil, včetně aplikace jménem Pro Piczoo, která byla nainstalována více než milionkrát.

Tipy, jak se vyhnout adwaru

  • Při stahování aplikací buďte opatrní. Před instalací nové aplikace si přečtěte její pozitivní i negativní recenze. Všímejte si, zda recenzenti píšou, že aplikace dělá, co tvrdila, že bude dělat. Pokud recenze aplikace obsahuje komentáře jako „tato aplikace nedělá to, co slibuje“ nebo „tato aplikace je plná adwaru“, je třeba instalaci této aplikace přehodnotit. Takové recenze jsou ukazatelem toho, že něco není v pořádku.
  • Vždy pečlivě zkontrolujte oprávnění aplikace a pečlivě uvažte, zda mají smysl. Poskytnutí nesprávných oprávnění může odeslat citlivá data kyberzločincům, včetně takových informací, jako jsou kontakty uložené v zařízení, mediální soubory nebo možnost nahlížet do osobních chatů. Pokud vám přijde, že požadovaná oprávnění jsou netypická nebo nevhodná, aplikaci raději nestahujte.
  • Nainstalujte si důvěryhodnou antivirovou aplikaci. Antivirus funguje jako bezpečnostní síť a dokáže identifikovat aplikace, které jsou infikovány adwarem a chrání tak před nimi uživatele.
Diskuze ke článku
Janek
Opět stejná písnička, OS Android je údajně chráněn různými antimalver programy, proč tedy nefungují? Nebo je to zcela jinak a tento druh nebezpečných reklam je podporován? Z čeho firma Google žije, samozřejmě z reklam. Zkuste zapnout antireklamní program a výsledek, všude vás začnou žádat ať okamžitě program ukončíte a když ne, tak vám omezí přístup. To je realita, změnu k lepšímu by museli akceptovat všichni v celém řetězci, to je utopie. Řada velice významných webů s tímto adwerem naprosto klidné existuje, uživatel je až na posledním místě.
fryy
nič nové pod slnkom. na také aplikácie som narazil aj ja a to nemusím byť ani avast.
Loqan
Psát číslovky bez jakéhokoliv oddělení, to chce jinou odvahu.

Načíst všechny komentáře

Přidat názor

Nechcete být anonymní? Přihlašte se

Nejživější diskuze