Используя свою мобильную платформу анализа угроз apklab.io, Avast обнаружил 50 рекламных приложений в магазине Google Play, установленных от 5,000 до 5 миллионов раз. Компания по безопасности окрестила рекламное ПО TsSdk, потому что этот термин был найден в первой версии вредоносных приложений, которые постоянно отображают рекламу в полноэкранном режиме и даже пытаются убедить пользователей установить его. Другие приложения. Рекламные приложения, обнаруженные Avast, связаны с помощью сторонних библиотек Android, которые обходят ограничения фоновых служб, имеющиеся в более новых версиях. d & # 39; Android. Хотя его обход в Play Store явно не запрещен, apklab.io определяет его как Android: Agent-SEB [PUB], поскольку эти библиотеки сокращают время автономной работы устройства. пользователя и замедлить его использование. Они используются рекламными приложениями, чтобы постоянно показывать пользователям все больше и больше рекламы, которая противоречит правилам Play Store.
ЦСдк
Через apklab.io Avast обнаружил в Play Store две версии TsSdk, связанные одним и тем же кодом. Предыдущая версия была установлена 3.6 миллиона раз и была одним из наиболее широко используемых приложений для игр, форматирования и редактирования фотографий в Индии, Индонезии, Филиппинах, Пакистане и Бангладеш. в Непале. После установки приложения, содержащие старую версию, работали, как ожидалось, но также создавали ярлыки на главном экране пользователя с полноэкранной рекламой, чтобы показывать, когда l & rsquo; Экран включается и периодически, когда пользователь взаимодействует со своим Android-смартфоном. Некоторые приложения также содержали код, который мог загружать другие приложения, предлагая пользователям их установить. Кроме того, большинство предыдущих примеров также добавляли ярлык для «Game Center» на экране. 39; домой зараженного устройства, на котором открылась страница с рекламой различных игр. Новая версия TsSdk была установлена почти 28 миллионов раз через музыкальные и фитнес-приложения. Эти приложения были в основном установлены на Филиппинах, в Индии, Индонезии, Малайзии, Бразилии и Великобритании. Код новой версии зашифрован с помощью инструмента сжатия Tencent, что усложняет задачу извлечения аналитиков. Перед показом полноэкранной рекламы также выполняются различные проверки. Наиболее важным из них является то, что рекламное ПО активируется только в том случае, если пользователь устанавливает приложение, нажимая на рекламу Facebook. Приложения могут обнаружить это с помощью функции в комплекте разработки программного обеспечения Facebook, которая называется «Delayed Deep Link». Чтобы не стать жертвой рекламного ПО, Avast советует пользователям быть осторожными при загрузке приложений, тщательно проверять разрешения приложений и устанавливать антивирусное приложение.
