Исследователи Bitdefender недавно обнаружили 17 приложений Google Play, которые после установки начинают скрывать свое присутствие на устройстве пользователя и постоянно отображают агрессивную рекламу. Хотя они и не являются вредоносными, но тактика, которую они используют, чтобы проникать в Google Play и уклоняться от системы проверки Google, традиционно ассоциируется с вредоносными программами.
Подождите 48 часов, прежде чем скрыть свое присутствие на устройстве, разбить код приложения на несколько файлов ресурсов и отложить показ объявлений до 4 часов после установки приложения. Это одна из тактик, которую эти разработчики используют для установки своих приложений в Google Play.
Общее количество загрузок превысило 550 000, а количество обнаруженных приложений оказалось ниже радара системы проверки Google, в основном потому, что они также выполнили вое обещание: они делают то, что говорят, что делают.
На момент написания, Google был уведомлен, и заявленные приложения отключены.
Обещание адреналина
Описание одного из проанализированных приложений включает в себя привлечение пользователей гоночным симулятором, который также предлагает платежи в приложении за дополнительные игровые функции.
В то время как игровая часть работает просто отлично, приложение показывает всплывающую рекламу, когда пользователь не играет в игру, и скрывается некоторое время после установки. Объявления показываются через случайные промежутки времени, что затрудняет распознавание пользователями того, когда показываются объявления.
Под капотом
Приложение поставляется со вторым компонентом, найденным в архиве из каталога активов. Интересно, что вредоносный код находится в первом компоненте, а второй является действительным кодом игры. Второй dex (компонент) и библиотеки, используемые в игре, извлекаются из архива, указанного в каталоге ресурсов.
С точки зрения зарегистрированных получателей, первый предназначен для android.intent.action.BOOT_COMPLETED. При получении трансляции приложение начнет действие, которое запускает планировщик заданий для показа рекламы. Запланированный сервис запускается через 10 минут и показывает объявление только один раз. Планировщик воссоздает сам себя, вызывая метод из действия, которое его первоначально создало, а затем снова запускается через 10 минут.
Другой приемник, который регистрирует приложение, предназначен для android.intent.action.USER_PRESENT. Всякий раз, когда пользователь разблокирует устройство, если с момента его установки прошло не менее 4 часов, есть вероятность, что оно будет показано. Это связано с тем, что показ объявлений программируется путем генерации случайного числа меньше 3, которое проверяется по значению. Если сгенерированный номер равен номеру чека, появляется объявление. Поэтому вероятность показа рекламы один раз в три раза пользователь разблокирует телефон.
Рекламные SDK
Пользователи видят несколько рекламных объявлений либо в игре, когда нажимают разные кнопки, либо даже если их нет в приложении. Частота появления рекламы во время игры зависит от случайного значения. В половине случаев существует вероятность того, что при использовании некоторых игровых функций, всплывающее окно с рекламой.
Механизмы показа рекламы разбросаны по всему приложению, в нескольких действиях и с использованием модифицированных рекламных SDK. Случайность появления рекламы и временных интервалов показа изменена разработчиком, чтобы уменьшить вероятность того, что пользователи заметят какие-либо шаблоны.
Идентификаторы ключей рекламного SDK задаются в файле конфигурации в каталоге ресурсов и извлекаются при показе рекламы. В файле конфигурации есть параметры для настройки того, как часто должны отображаться рекламные сервисы. Файл конфигурации также содержит флаг, указывающий, должно ли приложение скрывать свое присутствие на устройстве, или нет, флаг, который по умолчанию имеет значение true.
Некоторые версии приложения имеют «флажок скрытия значка» под другим именем:
Механизмы уклонения от Google Play
Один из способов, позволяющих приложению уклоняться от проверок в Google Play, заключается в ожидании 48 часов, чтобы спрятаться Код также разбит на два файла dex, что усложняет исследователям безопасности понимание логики приложения. Другой используемый метод - манипулирование приемником вещания для android.intent.action.USER_PRESENT, чтобы показывать рекламу только через 4 часа после установки.
Приложение также поставляется с .so файлами, которые не используются. Эти библиотечные файлы распространены в играх для Android, поскольку они обеспечивают быстрый рендеринг графики в мобильной среде с ограниченными ресурсами. Здесь интересно то, что игра фактически использует другие файлы .so, находящиеся в архиве в каталоге assets, несмотря на то, что они уже есть в каталоге lib. Это может быть механизм, предназначенный для того, чтобы приложение выглядело как обычная игра, в то время как его основная цель - агрессивное отображение рекламы.
Другие версии, такие же отзывы
В других версиях, включая версии, которые когда-то были в Google Play, запросы к рекламным веб-сайтам также содержат конфиденциальную информацию о пользователе, такую как модель телефона, IMEI, IP-адрес, MAC-адрес и информация о местоположении. Некоторые приложения не имеют второго dex и имеют все функциональные возможности в начальном.
Некоторые пользователи, которые пробовали приложения, оставляли отзывы, которые вызывали предупреждающие знаки о поведении приложений. В то время как некоторые пользователи раздражались, что они даже не могли играть в игру из-за полноэкранной рекламы, другие жаловались на разрядку батареи и точно идентифицировали сомнительное поведение приложения после установки.
Обмани меня… 17 раз
Описанные выше методы для уклонения от системы проверки Google, похоже, нашли хорошее применение, так как исследователи Bitdefender выявили 17 других приложений, использующих те же методы. Хотя имена создателей и приложений разные, все они имеют одинаковые функции в плане скрытия своего существования и показа рекламы.
Оставайтесь в безопасности
Хотя найденные приложения Google Play не помечены как вредоносные, а, скорее, как Riskware, пользователям настоятельно рекомендуется всегда устанавливать на свои устройства решения безопасности, поскольку они могут точно идентифицировать эти приложения и препятствовать их установке пользователями. Будь то загруженное с официальных или сторонних торговых площадок, решение для обеспечения безопасности мобильных устройств защитит пользователей от вредоносных программ, вредоносных программ или других потенциально вредоносных приложений, а также от фишинговых или мошеннических веб-сайтов.
Bitdefender идентифицирует найденные образцы с помощью следующих обнаружений: Android.Riskware.HiddenAds.HH, Android.Riskware.HiddenApp.AX, Android.Riskware.HiddenApp.HU
Примечание: информация в этой статье была предоставлена благодаря Александре Бочерег, младшему исследователю безопасности, Bitdefender. Перевел presale engineer Bitdefender Россия Евгений Киров.
