Информация и портфолио
Сотрудниками компании Avast было обнаружено в Google Play Store порядка 50 вредоносных рекламных приложений, замаскированных под фитнес-приложения и загруженных в общей сложности порядка 30 млн раз. Вот некоторые из них: Pro Piczoo, Photo Blur Studio, Mov-tracker, Magic Cut Out, Pro Photo Eraser.
Все эти приложения связаны между собой через сторонние библиотеки, с помощью которых им удается обойти ограничения для фоновых сервисов. В данных приложениях реклама отображается на весь экран. В некоторых случаях обманным путем заставляют пользователей установить дополнительное рекламное ПО.
В Google Play Store обнаружено две версии вредоносного ПО под названием TsSdk. Размещены на портале между простыми играми, фоторедакторами и фитнес-приложениями.
После загрузки оба приложения выглядят так же, как и обычные, но на домашнем экране отображаются ссылки на нежелательные страницы и сервисы. В некоторых приложениях можно найти ссылку на Game Center, которая ведет на страницу с предложениями различных игр. Реклама продолжает отображаться при каждом включении домашнего экрана, иногда появляются на устройстве дополнительные программы, которые не были загружены ранее.
Новые версии TsSdk были обнаружены среди музыкальных и фитнес-приложений. На данный момент, код вредоносного ПО модифицирован и зашифрован, и теперь запускается только после нажатия на соответствующую рекламу в Facebook.
Функция Facebook SDK под названием «deferred deep linking» позволяет приложениям отслеживать, когда пользователь нажал на рекламу. После нажатия приложение начинает показывать дополнительную рекламу в течение первых четырех часов, а затем реже и более бессистемно. После этого, реклама на полный экран будет отображаться каждые 15-30 минут.
Вирусные ПО работают некорректно на Android 8.0 Oreo и более поздних версиях. В данный некоторые из вредоносных приложений уже удалены из Google Play Store, и ведутся активные работы по их устранению.