A Avast anuncia que descobriu 50 aplicativos com adware na Google Play Store, usando sua plataforma móvel de inteligência contra ameaças, apklab.io. As instalações dos aplicativos, aos quais a Avast se refere como TsSdk, variam entre 5.000 a 5 milhões. O adware exibe persistentemente anúncios em tela cheia e, em alguns casos, tenta convencer o usuário a instalar outros aplicativos.
Os aplicativos com adware são interligados, por meio do uso de bibliotecas de Android de terceiros que ignoram as restrições de serviços em segundo plano presentes em versões mais recentes do Android. Embora o próprio desvio não seja explicitamente proibido na Play Store, a Avast detecta-o como Android:Agent-SEB [PUP], porque os aplicativos que usam essas bibliotecas desperdiçam a bateria do usuário e tornam o dispositivo mais lento. Os aplicativos usam as bibliotecas para exibir continuamente mais e mais anúncios para o usuário, indo de encontro às regras da Play Store.
A Avast entrou em contato com o Google para remover os aplicativos. A Avast nomeou o adware de TsSdk, porque o termo foi encontrado na primeira versão do adware.
O original
Usando a apklab.io, a Avast encontrou duas versões do TsSdk na Play Store, todas interligadas pelo mesmo código. A mais antiga das duas versões foi instalada 3,6 milhões de vezes e estava contida em aplicativos simples de jogos, fitness e edição de fotos; mais frequentemente instalados na Índia, Indonésia, Filipinas, Paquistão, Bangladesh e Nepal.
Depois de instalados, a maioria dos aplicativos que contêm a versão mais antiga parecem funcionar como anunciados em suas páginas da Google Play. No entanto, os atalhos são soltos na tela inicial e os anúncios em tela cheia são exibidos para o usuário, quando ele aciona a tela. Há situações em que os anúncios são exibidos periodicamente, quando o usuário utiliza o dispositivo. Em alguns casos, os aplicativos contêm um código capaz de fazer o download de outros aplicativos, solicitando que os usuários os instalem. Além disso, a maioria das amostras mais antigas também adicionou um atalho para um "Game Center" na tela inicial do dispositivo infectado, que abre uma página com anúncios de jogos diferentes: http://h5games.top/.
O nome "H5GameCenter" também fazia parte do malware Cosiloon pré-instalado, que a Avast reportou no ano passado. Os pesquisadores do Avast não sabem se os dois estão relacionados um com o outro.
Atualizando o código do adware
A versão mais recente foi instalada 28 milhões de vezes e foi incluída em aplicativos de música e fitness. Os destinos, onde os aplicativos são mais instalados, são: Filipinas, Índia, Indonésia, Malásia, Brasil e Reino Unido. O código da nova versão está melhor protegido; o código é criptografado usando o empacotador Tencent, que é bastante difícil de ser descompactado pelos analistas, mas é facilmente capturado durante a análise dinâmica no apklab.io.
Esta versão realiza várias verificações antes de implantar anúncios em tela cheia. Em primeiro lugar, o adware só é acionado se o usuário instalar o aplicativo clicando em um anúncio do Facebook. O aplicativo pode detectar isso, usando um recurso do SDK do Facebook chamado "deferred deep linking".
O adware só exibe anúncios nas primeiras quatro horas do aplicativo que é instalado e, em seguida, com muito menos frequência. Pelo código, sabemos que, nas primeiras quatro horas, os anúncios em tela cheia são exibidos aleatoriamente quando o telefone é desbloqueado ou a cada 15 minutos, ou em 15 minutos, ou ainda 30 minutos depois.
A versão mais recente do adware parece não funcionar na versão 8.0 e superior do Android, devido às alterações no gerenciamento do serviço em segundo plano nessas versões mais recentes do dispositivo. Tendo em vista a quantidade de amostras, a Avast selecionou somente as APK mais recentes de cada aplicativo e as colocou nessa planilha.
Muitas das versões mais antigas do adware estavam na Play Store antes, com o Google removendo os aplicativos, incluindo um aplicativo chamado Pro Piczoo, que foi instalado mais de um milhão de vezes.