Domů » Články » Nebezpečný adware na Google Play ohrožoval 30 milionů uživatelů

Nebezpečný adware na Google Play ohrožoval 30 milionů uživatelů

Český antivirový nástroj Avast objevil s pomocí své platformy pro analýzu mobilních hrozeb apklab.io v obchodě Google Play 50 aplikací s prvky adwaru. Počet instalací těchto aplikací, které Avast nazývá TsSdk, se pohybuje v rozmezí od 5 tisíc do 5 milionů. Adware setrvale zobrazuje reklamy přes celý displej a v některých případech se snaží přesvědčit uživatele, aby instaloval další aplikace. V součtu počtu instalací všech nakažených aplikací bylo v ohrožení přes 30 milionů uživatelů.

Aplikace s adwarem jsou propojeny použitím knihoven pro Android třetích stran, které obcházejí omezení služeb na pozadí obsažených v novějších verzích Androidu. I když toto obcházení jako takové obchod Play výslovně nezakazuje, Avast jej detekuje jako Android:Agent-SEB [PUP], i proto, že aplikace využívající tyto knihovny plýtvají baterií a zařízení zpomalují. V rozporu s pravidly obchodu Play aplikace využívají tyto knihovny k neustálému zobrazování stále většího počtu reklam.

Avast objevil nebezpečný adware na Google Play ohrožoval 30 milionů uživatelů
Avast objevil nebezpečný adware na Google Play ohrožoval 30 milionů uživatelů

Nepřehlédněte: Jak odstranit Android malware bez ztráty dat? (návod)

Avast kontaktoval společnost Google s žádostí, aby tyto aplikace odstranila a pojmenoval tento adware TsSdk podle výrazu, který byl nalezen v první verzi adwaru.

Původní verze adware

Prostřednictvím apklab.io našel Avast v obchodě Play dvě verze TsSdk propojené stejným kódem. Starší z těchto dvou verzí byly instalovány více než 3600000krát a byly obsaženy v jednoduchých hrách i v aplikacích pro fitness a úpravy fotografií; nejčastěji byly instalovány v Indii, Indonésii, na Filipínách, v Pákistánu, Bangladéši a v Nepálu.

Po instalaci se zdá, že většina aplikací se starší verzi, funguje tak, jak je popsáno na jejich stránkách na Google Play. Navíc se však na domovské obrazovce objevují zástupci a při probuzení zařízení se zobrazují reklamy přes celou obrazovku. V některých případech se reklamy zobrazují pravidelně, když uživatel zařízení používá.

hitfit malware

V jiných případech aplikace obsahují kód, který je schopen stahovat další aplikace a žádat uživatele, aby je nainstalovali. Většina starších vzorků navíc přidávala na domovskou obrazovku infikovaného zařízení zástupce „Game Center“, který otevírá stránku propagující různé hry.

Název „H5GameCenter“ byl také součástí předinstalovaného škodlivého softwaru Cosiloon, o němž Avast informoval v loňském roce. Výzkumníci Avastu ještě sledují, zda jsou tyto dvě věci vzájemně propojeny.

Aktualizace kódu adwaru

Novější verze byla instalována 28000000krát a byla umístěna do aplikací pro hudbu a fitness. K zemím, kde byly aplikace instalovány nejvíce, patří Filipíny, Indie, Indonésie, Malajsie, Brazílie a Velká Británie. Kód nové verze je lépe chráněn; je zašifrován pomocí packeru Tencent, který je analytiky obtížně rozbalitelný, ale byl snadno zachycen dynamickou analýzou v apklab.io.

adware

Tato verze provádí několik kontrol před nasazením celoobrazovkových reklam. V první řadě je adware spuštěn pouze v případě, že uživatel aplikaci nainstaluje kliknutím na reklamu na Facebooku. Aplikace to může poznat pomocí funkce Facebook SDK, které se říká „deferred deep linking“.

Co je to adware a jak se chová?

Adware zobrazuje reklamy pouze během prvních čtyř hodin od instalace aplikace a pak v mnohem menší míře. Z kódu víme, že během prvních čtyř hodin se reklamy přes celou obrazovku zobrazují náhodně, když je telefon odemčený, nebo každých 15 minut nebo vždy po uplynutí 15, 30 a 60 minut.

Nezdá se, že by novější verze adwaru fungovala na verzi Android 8.0 a vyšší, a to z důvodu změn ve správě služeb na pozadí v novějších verzích systému Android. Vzhledem k množství vzorků Avast vybral pouze nejnovější APK z každé aplikace a sepsal je do této tabulky.

pro piczoo

Screenshoty z obchodu Google Play a stránek na Facebooku jsou k dispozici zde. Mnoho starších verzí adwaru bylo dříve v obchodě Play a Google je následně odstranil, včetně aplikace jménem Pro Piczoo, která byla nainstalována více než milionkrát.

Michal Javůrek

Nadšenec do mobilních technologií, vášnivý fotograf, cyklista a sběratel starých telefonů. Pokud zrovna nesedím u počítače, najdete mě v přírodě s fotoaparátem přes rameno, nebo v sedle na kole.

2 komentáře

  1. x125 (neregistrovaný)

    A můžu se zeptat, čím byl tento adware nebezpečný? Zobrazování reklam je spíše otravné než nebezpečné. Docela zajímavé je u takových aplikací sledovat, kde si je uživatelé stahují. Stále dokola ty samé státy (nevkusnou rasistickou poznámku si domyslete).

    • Faktem je, že vzhledem k tristní bezpečnostní úrovni na platformě Android je to vlastně opravdu jedno, smutné.

Napsat komentář

Redakce si vyhrazuje právo mazat komentáře, které nesouvisejí s tématem diskuze, nebo jsou útočného či urážlivého charakteru (pomluvy, vulgarity, rasismus či ponižování). V případě porušení těchto pravidel chování může redakce zakázat přístup do diskuze. Pokud nechcete neustále vyplňovat pole Jméno a E-mail (nezveřejňuje se), doporučujeme se zaregistrovat. Vyžadované informace jsou označeny *