Такие рекламные зловреды связаны друг с другом посредством сторонних библиотек на Android, которые обходят ограничения фоновых сервисов Android даже в самых новых версиях операционной системы. Такой обход правил магазина не запрещен, однако Avast относит такие программы к классу нежелательных (Android:Agent-SEB [PUP]), так как они увеличивают расход батареи и замедляют устройство пользователя. Программы непрерывно используют базы данных и показывают все больше и больше рекламы пользователям, тем самым нарушая правила Google Play.
Avast связался с представителями компании Google с целью привлечь их внимание к проблеме и удалить приложения. Специалисты Avast также указали на сходство с TsSdk, так как он встречался еще в самых первых версиях рекламного программного обеспечения.
С помощью платформы apklab.io компании Avast удалось выявить две версии TsSdk в Google Play, которые имели в своей структуре один и тот же код. Более старая версия была установлена 3,6 млн раз и была встроена в ряд простых игр, а также в фоторедакторы и фитнес-приложения. Больше всего загрузок наблюдается в Индии, Индонезии, Пакистане, Бангладеш и Непале.
Сразу после установки большинство приложений, содержащих более старые версии TsSdk, работают так, как и заявлялось в описании Google Play. Однако на рабочем столе появляются дополнительные ярлыки и пользователю демонстрируется большое количество рекламных объявлений при включении дисплея, а также непосредственно во время использования устройства. В некоторых случаях код приложения может содержать задачу на установку сторонних приложений, информация о которых активно показывается пользователю. Кроме того, на рабочем столе зараженного вирусом смартфона может появится ярлык Game Center, который открывает страницу, содержащую ссылки на рекламируемые игры.
Программа с именем H5GameCenter уже появлялась в прошлогоднем отчете Avast о предустановленном рекламном ПО Cosiloon. Однако сотрудники компании Avast до конца не уверены, связаны ли они друг с другом.
Новая версия рекламного ПО была установлена в 28 млн приложений, в том числе фитнес- и музыкальных сервисах. Немного изменилась и география установок: самыми популярными местами для приложений с рекламой стали Филиппины, Индонезия, Малайзия, Бразилия и Великобритания. В целом, можно отметить более сильную защиту кода, так как в нем используется Tencent packer, который достаточно сложно расшифровать аналитикам, но который все еще легко отслеживается apklab.io.
Эта версия отличается от предыдущей в первую очередь тем, что имеет в себе алгоритмы проверки некоторых факторов перед отображением полноэкранной рекламы. Например, программа может срабатывать только в случае, если пользователь установил приложение, нажав на рекламу на Facebook. Рекламный вирус отслеживает это с помощью специальной функции, названной deferred deep linking.
Рекламные объявления показываются только в первые четыре часа после установки приложения, а затем регулярность их появления сильно уменьшается.
Так, в первые четыре часа полноэкранная реклама появляется с произвольной периодичностью, когда устройство разблокировано, либо каждые 15 минут в течение первого часа, а далее – каждые 30 минут.
Новая форма вредоносного ПО не работает на Android 8.0 и более современных версиях операционной системы в силу изменений в политике безопасности, содержащихся в каждом новом обновлении.
Многие приложения, содержащие в себе более старую версию рекламного ПО, были уже давно замечены в магазине и удалены компанией Google, как, например, фоторедактор Pro Piczoo, который был установлен более одного миллиона раз.
Короткая ссылка на материал: http://cnews.ru/link/n474131