在 Google Play 商店的安卓应用程式中,出现了令人不快的惊讶
激进的广告软体adware
音乐、照片编辑及健身应用中的激进广告软体不会轻易消失,它们试图说服用户安装更多应用。
透过 Avast 的移动威胁情报平台 apklabio,我们在 Google Play 商店中发现了 50 款广告软体应用。这些应用的安装量从 5K 到 500 万不等。这些广告软体相当烦人,因为它们持续显示全萤幕广告,有时还试图说服用户安装其他应用。
这些广告软体应用之间是通过使用第三方 Android 函式库来联系的,这些函式库绕过了新版本 Android 的背景服务限制。虽然这种绕过本身并不是在 Play 商店中明确禁止的,但 Avast 将其检测为 AndroidAgentSEB [PUP],因为使用这些函式库的应用会浪费用户的电池,并使设备变得更慢。本文中提到的应用利用这些函式库持续向用户显示越来越多的广告,这违反了 Play 商店的规定。
我们将基于这些函式库的广告软体称为TsSdk,因为这个术语是在首次版本的广告软体中发现的。
根据 Avast 的研究,这些广告软体在被从 Google Play 商店移除之前,已经安装了 3000 万次。我们已与 Google 合作,所有样本在本文发布前已从 Play 商店中移除。
通过 apklabio,我们在 Play 商店中找到了两个版本的 TsSdk,目前所有这些版本都由相同的代码连接。以下是对这两个版本的描述,从最旧的到最新的广告软体版本。
版本 A
TsSdk 的最早版本,我们称之为“版本 A”,安装了 360 万次。包含广告软体的应用是一些简单的游戏、健身和照片编辑应用。
版本 A 最常在印度、印尼、菲律宾、巴基斯坦、孟加拉和尼泊尔安装。
上图是包含 TsSDK 的应用示例。
一旦安装,大多数包含版本 A 的应用在 Google Play 页面中看似如预期运行,但却隐藏了令人厌恶的额外惊喜:会在主屏幕上添加应用的快捷方式,以及一个游戏中心,当用户打开萤幕时会显示全萤幕广告。在某些版本 A 的变体中,当用户使用设备时也会定期显示广告。这里有一段介绍这些的影片。
版本 A 的代码并不难以识别,广告软体的 SDK 容易被发现。这也是两个版本中相对不那么普遍的版本。一些版本 A 的变体也包含下载进一步应用的代码,提示用户安装它们。
版本 A 最有趣的地方是,大多数样本还在受感染设备的主屏幕上添加了游戏中心的快捷方式,其中显示不同游戏的广告:http//h5gamestop/。
这很有趣,因为H5GameCenter这个名称也是去年的Cosiloon 预装恶意软体中出现的。我们不确定这两者是否有联系。它们之间可能有某种关系,或者游戏中心的开发者在 Cosiloon 和 TsSdk 中都购买了广告。
版本 B
TsSdk 的第二个版本,我们称之为“版本 B”,安装了近 2800 万次。此广告软体包含在健身和音乐应用中。
版本 B 最常在菲律宾、印度、印尼、马来西亚、巴西、尼泊尔和英国安装。
看来广告软体的开发者在版本 B 上花了更多心思,因为它的外观较新,代码的保护也更好。广告软体的代码使用了 Tencent 的打包器进行加密,这对分析师来说难以解包,但在 apklabio 中的动态分析中可以轻易捕获。
我们尚未在我们的设备上成功显示版本 B 的广告,因为它在实际部署全萤幕广告功能之前进行了几项检查。首先,广告软体仅在用户通过点击 Facebook 广告安装应用时才会触发。该应用可以使用 Facebook SDK 的功能延迟深度链接来检测这一点。
我们不是在 Facebook 上看到广告,而是在 Play 商店中寻找受感染的应用,因此广告未显示。
小熊加速器官网https//wwwfacebookcom/pg/FlyTunes1992894597409025/ads/ref=pageinternalhttps//wwwfacebookcom/FloatingTunes2095281697456554/https//wwwfacebookcom/LemonTunes1089284337886145/ref=brrshttps//wwwfacebookcom/OneMusic1470634699657298/它还仅在应用安装的前四小时内显示广告,然后频率大幅降低。根据代码,我们知道在头四小时内,当手机解锁时,全萤幕广告会随机显示,或者每 15 分钟显示一次,时间点为每小时 15 分、30 分和 45 分,非常有趣的是,代码中的最后一个时间点显示为 61 分钟,显然无论开发者生活在哪个地方,一小时应该是 60 分钟:
版本 B 在 Android 80 及以上版本上似乎无法运行,这是因为这些新版本中背景服务管理方面的变更。然而,截至目前,几乎 80 的设备仍在使用旧版 Android 的。
尽管我们在测试设备上未能触发广告,但代码明确设置为显示侵入性广告,且用户评价几乎都毫不留情:
样本
由于样本数量众多,我们仅选择了每个应用的最新 APK 并放入这个 试算表。
Google Play 商店及 Facebook 页面的截图可以在 这里 获得。
请注意,许多版本 A 的应用之前已经在 Play 商店上,但 Google 在我们的研究完成之前已经将它们移除,包括 超过 100 万安装的 Pro Piczoo应用。