85 aplicativos do Google Play com 8 milhões de downloads forçaram anúncios em tela cheia em usuários

21

Pesquisadores descobriram 85 aplicativos do Google Play com mais de 8 milhões de downloads que forçaram os usuários a exibir anúncios em tela cheia.

Os aplicativos, que se apresentavam como programas de fotografia e jogos, continham uma família de adwares altamente prejudicial para os usuários finais. Depois de instalados, os aplicativos exibiam anúncios em tela cheia, uma configuração que obrigava os usuários a visualizar toda a duração de um anúncio antes de poder fechar a janela ou voltar para o aplicativo. Os aplicativos exibiam um anúncio a cada cinco minutos, mas as pessoas que operavam a plataforma tinham a capacidade de alterar remotamente a frequência.

AndroidOS_Hidenad.HRXH, como o adware é chamado, usou vários truques para evitar a detecção e a remoção. Uma meia hora depois de ser instalado, por exemplo, um aplicativo ocultaria seu ícone e criaria um atalho na tela inicial do dispositivo. (Isso é de acordo com um write-up da Trend Micro, a empresa de segurança que encontrou os aplicativos.) A ocultação do ícone impedia que os aplicativos fossem desinstalados arrastando e soltando a seção de desinstalação de ícones da tela do dispositivo. O Android 8 e versões posteriores exigem confirmação do usuário antes que um aplicativo possa criar um atalho, mas mesmo se os usuários dessas versões não concordarem, o ícone permaneceria oculto.

Um aplicativo também registraria dois timestamps, "a hora atual (hora do sistema do dispositivo) como 'installTime' e a hora da rede, cujo carimbo de data / hora é recuperado abusando de uma interface de programação de aplicativo (API) RESTful legítima e disponível publicamente. networkInstallTime. '"

Mais tarde, o aplicativo registraria um componente do Android, conhecido como "Receptor de Transmissão", que permitiria que o aplicativo enviasse ou recebesse eventos do sistema ou do aplicativo. O objetivo: ajudar a monitorar se um usuário estava presente depois que o dispositivo infectado foi ativado.

O pesquisador da Trend Micro, Ecular Xu, escreveu:

Toda vez que o usuário desbloqueia o dispositivo, o adware realizará várias verificações antes de executar suas rotinas. Primeiro compara a hora atual (a hora do sistema do dispositivo) com o registro de data e hora armazenado como installTime; Em seguida, ele compara o tempo de rede atual (consultado por meio de uma API RESTful) com o registro de data e hora armazenado como networkInstallTime. Com esses recursos, o aplicativo integrado ao adware pode determinar se ele foi instalado no dispositivo por tempo suficiente, com o tempo de atraso padrão configurado para 30 minutos. Até certo ponto, o uso do tempo de rede pode evitar as técnicas de detecção baseadas no tempo ou os acionadores usados ​​pelos sandboxes tradicionais, já que as configurações de tempo do aplicativo podem ser configuradas simplesmente usando networkInstallTime.

Se um aplicativo determinasse que ele tinha sido instalado por mais de 30 minutos, ele iniciaria a ocultação do ícone e a criação do atalho.

Xu continuou:

O aplicativo também registra outro Broadcast Receiver para android.intent.action.USER_PRESENT dinamicamente para verificar se o usuário desbloqueou o dispositivo. Quando as condições forem satisfeitas, os anúncios serão exibidos na tela. Semelhante a como ele oculta o ícone, ele também verifica se há tempo antes de exibir anúncios. Ele também usa o installTime e o networkInstallTime para identificar quanto tempo ele foi instalado no dispositivo. Além disso, ele também verifica o último anúncio para garantir que ele não mostre o mesmo anúncio com muita frequência.

A lista de aplicativos incluía Super Selfie Camera, Cos Camera, Pop Camera e One Stroke Line Puzzle. Cada um desses títulos foi baixado 1 milhão de vezes, o que representa cerca de metade do número total de downloads. Outros aplicativos (que incluíam o recurso Background Eraser, o Meet Camera, o Pixel Blur, o Hi Music Play e o One Line Stroke) tiveram cerca de 500.000 downloads. Os aplicativos restantes são publicados Aqui.

A Trend Micro reportou os aplicativos em particular ao Google. O Google removeu os aplicativos do Google Play.

Fonte: Ars Technica