Нежелательное ПО Android AdDisplay специализируется на обходе проверок Google Bouncer

Одним из наиболее распространенных способов распространения вредоносного ПО для Android через магазин приложений Google Play является их маскировка в качестве легитимного популярного приложения. Мы уже писали о таких примерах как фальшивые приложения Dubsmash и вредоносная программа Android/TrojanDropper.Mapin. Эти приложения скомпрометировали десятки тысяч владельцев устройств под управлением Android. Для обеспечения безопасности пользователей этой мобильной ОС, аналитики ESET отслеживают появление новых приложений в Google Play на предмет размещения там вредоносного или нежелательного ПО.

13ff06c6cb484318b32432a9b96df524.jpg

Еще одним вредоносным приложением, которое было скачано пользователями Google Play более 200 тыс. раз, является AdDisplay. Оно было доступно для загрузки более месяца и маскировалось под другие приложения с названиями Cheats for Pou, Guide For SubWay и Cheats For Subway. Приложения специализировались на показе рекламы пользователю через регулярные промежутки времени.
Подобного рода приложения, которые специализируются на показе рекламы пользователю, являются довольно распространенными в случае с Android. В то же время, существует граница в поведении таких приложений, когда наши антивирусные продукты начинают на них реагировать. Вышеуказанные нежелательные приложения (Potential Unwanted Application, PUA) содержат дополнительные механизмы по своей самозащите и препятствию удаления из системы, они также используют специальные приемы для обхода Google Bouncer. Именно поэтому они обнаруживаются нашим продуктом как нежелательные.

Очевидно, что в тот момент, когда пользователь поймет истинное назначение установленного им приложения, он захочет его удалить. Однако, выполнить такую операцию будет непросто, т. к. изначально приложение запрашивает у пользователя активацию режима администратора устройства.

2e1a3481cf53465f9f8d6f09f5e019dd.png
Рис. Одно из нежелательных приложений «cheats for Pou» в магазине Google Play.

b1f93e800cb9441bb7e1874c4a47ab6f.png
Рис. Нежелательное приложение «Cheats For Subway» в магазине Google Play.

feee4f1065f6453d91efd1de9999004f.png
Рис. Одно из нежелательных приложений «Guide For SubWay» в магазине Google Play.

Все эти нежелательные приложения были удалены из Google Play после нашего уведомления Google. Антивирусные продукты ESET обнаруживают такое нежелательное ПО как Android/AdDisplay.Cheastom.

После активации для приложения режима администратора устройства, оно попытается определить среду своего исполнения: устройство пользователя, эмулятор или исполнение на серверах Google (Bounсer). Используемый им метод anti-Bouncer заключается в том, что приложение получает IP-адрес устройства, а затем проверяет его на сервисе WHOIS. В том случае, если возвращаемая сервисом информация содержит слово Google, приложение предполагает, что его запускают в среде Bouncer. При этом приложение отключает выполнение своей основной функции – отображение рекламы. При этом пользователь остается с изначально заявленными приложением возможностями.

В обнаруженных нами приложениях cheats for Pou и Cheats for Subway схожи не только нежелательные функции, но и те, которые были заявлены самими разработчиками, т. е. снабжение пользователя читами к играм. Они также не потрудились снабдить эти программы соответствующими читами и приложение cheats for Pou показывает читы для игры Subway Surfers. Уже исходя из этого можно утверждать, что предоставление читов пользователю не является основной целью разработчиков.

876f4ddb7c65401ab8f3b3eb0f346ec7.png
Рис. Часть списка читов, отображаемая приложением.

В случае своего запуска на устройстве пользователя, приложения будут показывать полноэкранную рекламу каждые 30 или 40 минут. В случае запуска приложения в среде эмулятора, реклама все равно будет отображаться после перезагрузки устройства, при этом интервал показа полноэкранной рекламы будет составлять 45 мин.

c47d2f388a2448babfb1a143141e785d.png
Рис. Примеры отображаемой нежелательными приложениями рекламы.

После истекшего периода времени, приложение проверяет доступность подключения к интернету. В случае доступности подключения, оно обращается к удаленному серверу злоумышленников за инструкциями по отображению рекламы.

b4ac6b385836435590f59555fa87b3df.png
Рис. Взаимодействие приложения с удаленным сервером.

Удаление приложений Android/AdDisplay.Cheastom с устройства является проблематичной задачей, как многие из пользователей уже отмечали в комментариях к ним на Google Play. Это происходит потому, что приложение запрашивает режим администратора устройства при его установке. Оно также может скрывать свой значок запуска в Android. Для удаления такого приложения из системы, пользователю нужно деактивировать для него режим администратора устройства.

В случае использования на устройстве антивирусного ПО ESET Mobile Security, оно сможет выполнить операцию удаления нежелательного ПО вместо пользователя, но перед этим в антивирусе нужно активировать функцию обнаружения нежелательного ПО в меню расширенных настроек (Antivirus -> Advanced Settings -> Detect Potentially Unwanted Applications).

cc26316db898472d8f5ab99f4b1d572b.png
Рис. Функция обнаружения нежелательного ПО в приложении ESET Mobile Security.

В случае отсутствия установленного на устройстве ESET Mobile Security, пользователь может вручную удалить приложения с использованием нижеописанных шагов.

ff5816ca74d84101815156be5b24fcb2.png
ee6592fa2ae745229a8aa35791c83104.png
Рис. Шаги, которые необходимо предпринять пользователю для удаления Android/AdDisplay.Cheastom.

После деактивации режима администратора, приложения могут быть удалены через настройки Android.

Заключение

Вышеприведенные приложения относятся к типу нежелательного ПО и созданы для того, чтобы показывать полноэкранные рекламные объявления. Они маскируются под приложения, которые имеют значительный размер и предоставляют читерские коды от игр своим пользователям. Приложения содержат в себе специальные функции по обходу механизма безопасности Bouncer магазина приложений Play.

Нежелательные возможности приложений не активируются в случае их запуска в эмуляторе или на одном из серверов, принадлежащих Google. Приложения также получают инструкции от удаленного C&C-сервера, который может инструктировать их на показ рекламы. Эти потенциально нежелательные приложения под общим названием AdDisplay являются примером приложений, которые очень раздражают пользователей своим поведением и тех, которые сложно удалить с устройства пользователя.

f1d0942d1daf48eea5c8abce9ba6ab3e.png

© Habrahabr.ru