A Avast revelou a descoberta de 50 aplicativos com adware disponíveis para download na Google Play Store, usando sua plataforma móvel de inteligência contra ameaças, apklab.io. De acordo com a empresa de cibersegurança, as instalações dos aplicativos se referem como TsSdk, e variam entre 5.000 a 5 milhões. O adware exibe persistentemente anúncios em tela cheia e, em alguns casos, tenta convencer o usuário a instalar outros apps.
Segundo a Avast, os aplicativos com adware são interligados, por meio do uso de bibliotecas de Android de terceiros que ignoram as restrições de serviços em segundo plano presentes em versões mais recentes do Android. Embora o próprio desvio não seja explicitamente proibido na Play Store, a Avast detecta-o como Android:Agent-SEB [PUP], porque os aplicativos que usam essas bibliotecas desperdiçam a bateria do usuário e tornam o dispositivo mais lento. Os apps usam as bibliotecas para exibir continuamente mais e mais anúncios para o usuário, indo de encontro às regras da Play Store.
Em comunicado, a empresa de cibersegurança informa que entrou em contato com o Google para remover os aplicativos. A Avast nomeou o adware de TsSdk, porque o termo foi encontrado na primeira versão do adware.
O original
Usando a apklab.io, a Avast encontrou duas versões do TsSdk na Play Store, todas interligadas pelo mesmo código. A mais antiga das duas versões foi instalada 3,6 milhões de vezes e estava contida em aplicativos simples de jogos, fitness e edição de fotos; mais frequentemente instalados na Índia, Indonésia, Filipinas, Paquistão, Bangladesh e Nepal.
Depois de instalados, a maioria dos aplicativos que contêm a versão mais antiga parecem funcionar como anunciados em suas páginas da Google Play. No entanto, os atalhos são soltos na tela inicial e os anúncios em tela cheia são exibidos para o usuário, quando ele aciona a tela. Há situações em que os anúncios são exibidos periodicamente, quando o usuário utiliza o dispositivo.
Em alguns casos, os aplicativos contêm um código capaz de fazer o download de outros apps, solicitando que os usuários os instalem. Além disso, a maioria das amostras mais antigas também adicionou um atalho para um “Game Center” na tela inicial do dispositivo infectado, que abre uma página com anúncios de jogos diferentes.
O nome “H5GameCenter” também fazia parte do malware Cosiloon pré-instalado, que a Avast reportou no ano passado. Os pesquisadores do Avast não sabem se os dois estão relacionados um com o outro.
Atualizando o código do adware
A versão mais recente foi instalada 28 milhões de vezes e foi incluída em aplicativos de música e fitness. Os destinos, onde os aplicativos são mais instalados, são: Filipinas, Índia, Indonésia, Malásia, Brasil e Reino Unido. Segundo a Avast, esta versão realiza várias verificações antes de implantar anúncios em tela cheia. Em primeiro lugar, o adware só é acionado se o usuário instalar o aplicativo clicando em um anúncio do Facebook. O aplicativo pode detectar isso, usando um recurso do SDK do Facebook chamado “deferred deep linking”.
O adware só exibe anúncios nas primeiras quatro horas do aplicativo que é instalado e, em seguida, com muito menos frequência. Pelo código, sabe-se que, nas primeiras quatro horas, os anúncios em tela cheia são exibidos aleatoriamente quando o telefone é desbloqueado ou a cada 15 minutos, ou em 15 minutos, ou ainda 30 minutos depois.
A empresa de cibersegurança ressalta que a versão mais recente do adware parece não funcionar na versão 8.0 e superior do Android, devido às alterações no gerenciamento do serviço em segundo plano nessas versões mais recentes do dispositivo.
Muitas das versões mais antigas do adware estavam na Play Store antes, com o Google removendo os aplicativos, incluindo um app chamado Pro Piczoo, que foi instalado mais de um milhão de vezes.
Como evitar adware
Tenha cuidado ao baixar aplicativos: Verifique as revisões dos aplicativos antes de instalar um novo app, lendo cuidadosamente as resenhas positivas e negativas. Observe se os revisores comentam se o aplicativo faz ou não o que ele diz que fará. Se a revisão de um app incluir comentários como “este aplicativo não faz o que promete” ou “esse aplicativo é cheio de anúncios”, é preciso reconsiderar o download do app . Comentários como esses são um sinal de que algo não está certo.
Sempre verifique cuidadosamente as permissões dos aplicativos: Observe atentamente para ver se fazem sentido. A concessão de permissões indevidas pode enviar dados confidenciais aos cibercriminosos, incluindo informações como contatos armazenados no dispositivo, arquivos de mídia e informações sobre bate-papos sigilosos. Se algo parece estar fora do comum ou além do que parece ser apropriado, o aplicativo não deve ser baixado.
Instale um aplicativo antivírus confiável: O antivírus atua como uma rede de segurança e pode identificar aplicativos infectados com adware, protegendo os usuários contra apps indesejados.