Согласно новому отчету, 85 популярных приложений из Google Play Store с общим числом загрузок более 8 миллионов принудительно показывали полноэкранную рекламу после установки на смартфоны пользователей.
Исследовательская фирма в области безопасности Trend Micro (через Ars Technica) обнаружила рекламное ПО в ряде приложений, которые выдавались за приложения для продуктивности, фотографии и игр в Play Store. После установки эти приложения принудительно показывали полноэкранную, непропускаемую рекламу каждые пять минут.
Trend Micro также установила, что злоумышленники могли удаленно увеличивать или уменьшать частоту показа этой навязчивой рекламы. Рекламное ПО называется AndroidOS_Hidead.HRXH и в течение 30 минут после установки скрывает значок приложения, а также создает ярлык на главном экране телефона.
Скрываясь на виду, приложения, показывающие рекламу, было гораздо труднее удалить без прямого перехода в настройки устройства или в Play Store. Как вы, возможно, знаете, начиная с Android Oreo, для создания ярлыка или виджета на главном экране требуется подтверждение пользователя. Даже если вы не согласились с этим всплывающим окном, проблемные приложения все равно оставались скрытыми.
Каждый раз, когда пользователь разблокирует устройство, рекламное ПО выполняет несколько проверок, прежде чем приступить к выполнению своих процедур. Сначала оно сравнивает текущее время (системное время устройства) с временной меткой, сохраненной как installTime; затем оно сравнивает текущее сетевое время (запрошенное через RESTful API) с временной меткой, сохраненной как networkInstallTime.
С помощью этих данных приложение, содержащее рекламное ПО, может определить, было ли оно установлено на устройстве достаточно давно, при этом время задержки по умолчанию установлено на 30 минут. В определенной степени использование сетевого времени может помочь избежать методов обнаружения, основанных на времени, или триггеров, используемых традиционными песочницами, поскольку настройки времени приложения можно настроить, просто используя networkInstallTime.
Если приложение определило, что оно было установлено более 30 минут назад, оно скрывает свой значок и создает ярлык на главном экране устройства. Эта процедура не имеет очевидной разницы для пользователя, если только на устройстве не включена функция, которая сначала уведомляет пользователя о создании ярлыка.
Эти приложения записывают две временные метки: текущее время устройства и время установки. Затем они сравнивают их с сетевым временем, которое используется для определения того, как долго приложение было установлено, прежде чем скрыться и создать ярлык на главном экране.
Если вы задаетесь вопросом, устанавливали ли вы одно из проблемных приложений, список включает Super Selfie Camera, Cos Camera, Pop Camera и One Stroke Line Puzzle. Все эти приложения смогли набрать более 1 миллиона загрузок и составляют около половины общего числа загрузок, зафиксированных рекламным ПО. Несколько других приложений, включая Background Eraser, Meet Camera, Pixel Blur и Hi Music Play, набрали по 500 000 загрузок каждое.
Эта новость появилась как раз в тот момент, когда Google увеличивает время одобрения приложений в Play Store, в надежде помочь уменьшить количество подобных вредоносных приложений. Trend Micro сообщила полный список приложений напрямую Google, который впоследствии удалил их из Play Store. Полный список можно посмотреть здесь.