Avast odhalil nebezpečný adware pro android. V ohrožení bylo 30 milionů uživatelů


Avast odhalil nebezpečný adware pro android. V ohrožení bylo 30 milionů uživatelů

Avast objevil s pomocí své platformy pro analýzu mobilních hrozeb apklab.io v obchodě Google Play 50 aplikací s prvky adwaru. Počet instalací těchto aplikací, které Avast nazývá TsSdk, se pohybuje v rozmezí od 5 tisíc do 5 milionů. Adware setrvale zobrazuje reklamy přes celý displej a v některých případech se snaží přesvědčit uživatele, aby instaloval další aplikace.

Aplikace s adwarem jsou propojeny použitím knihoven pro Android třetích stran, které obcházejí omezení služeb na pozadí obsažených v novějších verzích Androidu. I když toto obcházení jako takové obchod Play výslovně nezakazuje, Avast jej detekuje jako Android:Agent-SEB [PUP], i proto, že aplikace využívající tyto knihovny plýtvají baterií a zařízení zpomalují. V rozporu s pravidly obchodu Play aplikace využívají tyto knihovny k neustálému zobrazování stále většího počtu reklam.

Avast kontaktoval společnost Google s žádostí, aby tyto aplikace odstranila a pojmenoval tento adware TsSdk podle výrazu, který byl nalezen v první verzi adwaru.

Původní verze

Prostřednictvím apklab.io našel Avast v obchodě Play dvě verze TsSdk propojené stejným kódem. Starší z těchto dvou verzí byly instalovány více než 3600000krát a byly obsaženy v jednoduchých hrách i v aplikacích pro fitness a úpravy fotografií; nejčastěji byly instalovány v Indii, Indonésii, na Filipínách, v Pákistánu, Bangladéši a v Nepálu.

Po instalaci se zdá, že většina aplikací se starší verzi, funguje tak, jak je popsáno na jejich stránkách na Google Play. Navíc se však na domovské obrazovce objevují zástupci a při probuzení zařízení se zobrazují reklamy přes celou obrazovku. V některých případech se reklamy zobrazují pravidelně, když uživatel zařízení používá. V jiných případech aplikace obsahují kód, který je schopen stahovat další aplikace a žádat uživatele, aby je nainstalovali. Většina starších vzorků navíc přidávala na domovskou obrazovku infikovaného zařízení zástupce „Game Center“, který otevírá stránku propagující různé hry: http://h5games.top/.

Název „H5GameCenter“ byl také součástí předinstalovaného škodlivého softwaru Cosiloon, o němž Avast informoval v loňském roce. Výzkumníci Avastu ještě sledují, zda jsou tyto dvě věci vzájemně propojeny.

Aktualizace kódu adwaru

Novější verze byla instalována 28000000krát a byla umístěna do aplikací pro hudbu a fitness. K zemím, kde byly aplikace instalovány nejvíce, patří Filipíny, Indie, Indonésie, Malajsie, Brazílie a Velká Británie. Kód nové verze je lépe chráněn; je zašifrován pomocí packeru Tencent, který je analytiky obtížně rozbalitelný, ale byl snadno zachycen dynamickou analýzou v apklab.io.

Tato verze provádí několik kontrol před nasazením celoobrazovkových reklam. V první řadě je adware spuštěn pouze v případě, že uživatel aplikaci nainstaluje kliknutím na reklamu na Facebooku. Aplikace to může poznat pomocí funkce Facebook SDK, které se říká „deferred deep linking“.

Adware zobrazuje reklamy pouze během prvních čtyř hodin od instalace aplikace a pak v mnohem menší míře. Z kódu víme, že během prvních čtyř hodin se reklamy přes celou obrazovku zobrazují náhodně, když je telefon odemčený, nebo každých 15 minut nebo vždy po uplynutí 15, 30 a 60 minut.

Nezdá se, že by novější verze adwaru fungovala na verzi Android 8.0 a vyšší, a to z důvodu změn ve správě služeb na pozadí v novějších verzích systému Android. Vzhledem k množství vzorků Avast vybral pouze nejnovější APK z každé aplikace a sepsal je do této tabulky.

Screenshoty z obchodu Google Play a stránek na Facebooku jsou k dispozici zde. Mnoho starších verzí adwaru bylo dříve v obchodě Play a Google je následně odstranil, včetně aplikace jménem Pro Piczoo, která byla nainstalována více než milionkrát.

The following two tabs change content below.
Mirek Kočí

Mirek Kočí

Šéfredaktor serveru Světaplikací.cz. Dříve psal pro ExtraHardware.cz a Deník.cz, nyní občas přispívá do tištěných časopisů Týden a Faktor S. Ve volném čase se věnuje rodině, sportu a youtuberingu.



Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *



Pocket
0Shares
Tento web používá k poskytování služeb soubory cookie.