Одним из наиболее распространенных способов распространения вредоносного ПО для Android через магазин приложений Google Play является их маскировка в качестве легитимного популярного приложения. Мы уже писали о таких примерах как фальшивые приложения Dubsmash и вредоносная программа Android/TrojanDropper.Mapin. Эти приложения скомпрометировали десятки тысяч владельцев устройств под управлением Android. Для обеспечения безопасности пользователей этой мобильной ОС, аналитики ESET отслеживают появление новых приложений в Google Play на предмет размещения там вредоносного или нежелательного ПО.
![](https://habrastorage.org/files/13f/f06/c6c/13ff06c6cb484318b32432a9b96df524.jpg)
Еще одним вредоносным приложением, которое было скачано пользователями Google Play более 200 тыс. раз, является AdDisplay. Оно было доступно для загрузки более месяца и маскировалось под другие приложения с названиями Cheats for Pou, Guide For SubWay и Cheats For Subway. Приложения специализировались на показе рекламы пользователю через регулярные промежутки времени.
Подобного рода приложения, которые специализируются на показе рекламы пользователю, являются довольно распространенными в случае с Android. В то же время, существует граница в поведении таких приложений, когда наши антивирусные продукты начинают на них реагировать. Вышеуказанные нежелательные приложения (Potential Unwanted Application, PUA) содержат дополнительные механизмы по своей самозащите и препятствию удаления из системы, они также используют специальные приемы для обхода Google Bouncer. Именно поэтому они обнаруживаются нашим продуктом как нежелательные.
Очевидно, что в тот момент, когда пользователь поймет истинное назначение установленного им приложения, он захочет его удалить. Однако, выполнить такую операцию будет непросто, т. к. изначально приложение запрашивает у пользователя активацию режима администратора устройства.
![](https://habrastorage.org/files/2e1/a34/81c/2e1a3481cf53465f9f8d6f09f5e019dd.png)
Рис. Одно из нежелательных приложений «cheats for Pou» в магазине Google Play.
![](https://habrastorage.org/files/b1f/93e/800/b1f93e800cb9441bb7e1874c4a47ab6f.png)
Рис. Нежелательное приложение «Cheats For Subway» в магазине Google Play.
![](https://habrastorage.org/files/fee/e4f/106/feee4f1065f6453d91efd1de9999004f.png)
Рис. Одно из нежелательных приложений «Guide For SubWay» в магазине Google Play.
Все эти нежелательные приложения были удалены из Google Play после нашего уведомления Google. Антивирусные продукты ESET обнаруживают такое нежелательное ПО как Android/AdDisplay.Cheastom.
После активации для приложения режима администратора устройства, оно попытается определить среду своего исполнения: устройство пользователя, эмулятор или исполнение на серверах Google (Bounсer). Используемый им метод anti-Bouncer заключается в том, что приложение получает IP-адрес устройства, а затем проверяет его на сервисе WHOIS. В том случае, если возвращаемая сервисом информация содержит слово Google, приложение предполагает, что его запускают в среде Bouncer. При этом приложение отключает выполнение своей основной функции – отображение рекламы. При этом пользователь остается с изначально заявленными приложением возможностями.
В обнаруженных нами приложениях cheats for Pou и Cheats for Subway схожи не только нежелательные функции, но и те, которые были заявлены самими разработчиками, т. е. снабжение пользователя читами к играм. Они также не потрудились снабдить эти программы соответствующими читами и приложение cheats for Pou показывает читы для игры Subway Surfers. Уже исходя из этого можно утверждать, что предоставление читов пользователю не является основной целью разработчиков.
![](https://habrastorage.org/files/876/f4d/db7/876f4ddb7c65401ab8f3b3eb0f346ec7.png)
Рис. Часть списка читов, отображаемая приложением.
В случае своего запуска на устройстве пользователя, приложения будут показывать полноэкранную рекламу каждые 30 или 40 минут. В случае запуска приложения в среде эмулятора, реклама все равно будет отображаться после перезагрузки устройства, при этом интервал показа полноэкранной рекламы будет составлять 45 мин.
![](https://habrastorage.org/files/c47/d2f/388/c47d2f388a2448babfb1a143141e785d.png)
Рис. Примеры отображаемой нежелательными приложениями рекламы.
После истекшего периода времени, приложение проверяет доступность подключения к интернету. В случае доступности подключения, оно обращается к удаленному серверу злоумышленников за инструкциями по отображению рекламы.
![](https://habrastorage.org/files/b4a/c6b/385/b4ac6b385836435590f59555fa87b3df.png)
Рис. Взаимодействие приложения с удаленным сервером.
Удаление приложений Android/AdDisplay.Cheastom с устройства является проблематичной задачей, как многие из пользователей уже отмечали в комментариях к ним на Google Play. Это происходит потому, что приложение запрашивает режим администратора устройства при его установке. Оно также может скрывать свой значок запуска в Android. Для удаления такого приложения из системы, пользователю нужно деактивировать для него режим администратора устройства.
В случае использования на устройстве антивирусного ПО ESET Mobile Security, оно сможет выполнить операцию удаления нежелательного ПО вместо пользователя, но перед этим в антивирусе нужно активировать функцию обнаружения нежелательного ПО в меню расширенных настроек (Antivirus -> Advanced Settings -> Detect Potentially Unwanted Applications).
![](https://habrastorage.org/files/cc2/631/6db/cc26316db898472d8f5ab99f4b1d572b.png)
Рис. Функция обнаружения нежелательного ПО в приложении ESET Mobile Security.
В случае отсутствия установленного на устройстве ESET Mobile Security, пользователь может вручную удалить приложения с использованием нижеописанных шагов.
![](https://habrastorage.org/files/ff5/816/ca7/ff5816ca74d84101815156be5b24fcb2.png)
![](https://habrastorage.org/files/ee6/592/fa2/ee6592fa2ae745229a8aa35791c83104.png)
Рис. Шаги, которые необходимо предпринять пользователю для удаления Android/AdDisplay.Cheastom.
После деактивации режима администратора, приложения могут быть удалены через настройки Android.
Заключение
Вышеприведенные приложения относятся к типу нежелательного ПО и созданы для того, чтобы показывать полноэкранные рекламные объявления. Они маскируются под приложения, которые имеют значительный размер и предоставляют читерские коды от игр своим пользователям. Приложения содержат в себе специальные функции по обходу механизма безопасности Bouncer магазина приложений Play.
Нежелательные возможности приложений не активируются в случае их запуска в эмуляторе или на одном из серверов, принадлежащих Google. Приложения также получают инструкции от удаленного C&C-сервера, который может инструктировать их на показ рекламы. Эти потенциально нежелательные приложения под общим названием AdDisplay являются примером приложений, которые очень раздражают пользователей своим поведением и тех, которые сложно удалить с устройства пользователя.
![](https://habrastorage.org/files/13f/f06/c6c/13ff06c6cb484318b32432a9b96df524.jpg)
Еще одним вредоносным приложением, которое было скачано пользователями Google Play более 200 тыс. раз, является AdDisplay. Оно было доступно для загрузки более месяца и маскировалось под другие приложения с названиями Cheats for Pou, Guide For SubWay и Cheats For Subway. Приложения специализировались на показе рекламы пользователю через регулярные промежутки времени.
Подобного рода приложения, которые специализируются на показе рекламы пользователю, являются довольно распространенными в случае с Android. В то же время, существует граница в поведении таких приложений, когда наши антивирусные продукты начинают на них реагировать. Вышеуказанные нежелательные приложения (Potential Unwanted Application, PUA) содержат дополнительные механизмы по своей самозащите и препятствию удаления из системы, они также используют специальные приемы для обхода Google Bouncer. Именно поэтому они обнаруживаются нашим продуктом как нежелательные.
Очевидно, что в тот момент, когда пользователь поймет истинное назначение установленного им приложения, он захочет его удалить. Однако, выполнить такую операцию будет непросто, т. к. изначально приложение запрашивает у пользователя активацию режима администратора устройства.
![](https://habrastorage.org/files/2e1/a34/81c/2e1a3481cf53465f9f8d6f09f5e019dd.png)
Рис. Одно из нежелательных приложений «cheats for Pou» в магазине Google Play.
![](https://habrastorage.org/files/b1f/93e/800/b1f93e800cb9441bb7e1874c4a47ab6f.png)
Рис. Нежелательное приложение «Cheats For Subway» в магазине Google Play.
![](https://habrastorage.org/files/fee/e4f/106/feee4f1065f6453d91efd1de9999004f.png)
Рис. Одно из нежелательных приложений «Guide For SubWay» в магазине Google Play.
Все эти нежелательные приложения были удалены из Google Play после нашего уведомления Google. Антивирусные продукты ESET обнаруживают такое нежелательное ПО как Android/AdDisplay.Cheastom.
После активации для приложения режима администратора устройства, оно попытается определить среду своего исполнения: устройство пользователя, эмулятор или исполнение на серверах Google (Bounсer). Используемый им метод anti-Bouncer заключается в том, что приложение получает IP-адрес устройства, а затем проверяет его на сервисе WHOIS. В том случае, если возвращаемая сервисом информация содержит слово Google, приложение предполагает, что его запускают в среде Bouncer. При этом приложение отключает выполнение своей основной функции – отображение рекламы. При этом пользователь остается с изначально заявленными приложением возможностями.
В обнаруженных нами приложениях cheats for Pou и Cheats for Subway схожи не только нежелательные функции, но и те, которые были заявлены самими разработчиками, т. е. снабжение пользователя читами к играм. Они также не потрудились снабдить эти программы соответствующими читами и приложение cheats for Pou показывает читы для игры Subway Surfers. Уже исходя из этого можно утверждать, что предоставление читов пользователю не является основной целью разработчиков.
![](https://habrastorage.org/files/876/f4d/db7/876f4ddb7c65401ab8f3b3eb0f346ec7.png)
Рис. Часть списка читов, отображаемая приложением.
В случае своего запуска на устройстве пользователя, приложения будут показывать полноэкранную рекламу каждые 30 или 40 минут. В случае запуска приложения в среде эмулятора, реклама все равно будет отображаться после перезагрузки устройства, при этом интервал показа полноэкранной рекламы будет составлять 45 мин.
![](https://habrastorage.org/files/c47/d2f/388/c47d2f388a2448babfb1a143141e785d.png)
Рис. Примеры отображаемой нежелательными приложениями рекламы.
После истекшего периода времени, приложение проверяет доступность подключения к интернету. В случае доступности подключения, оно обращается к удаленному серверу злоумышленников за инструкциями по отображению рекламы.
![](https://habrastorage.org/files/b4a/c6b/385/b4ac6b385836435590f59555fa87b3df.png)
Рис. Взаимодействие приложения с удаленным сервером.
Удаление приложений Android/AdDisplay.Cheastom с устройства является проблематичной задачей, как многие из пользователей уже отмечали в комментариях к ним на Google Play. Это происходит потому, что приложение запрашивает режим администратора устройства при его установке. Оно также может скрывать свой значок запуска в Android. Для удаления такого приложения из системы, пользователю нужно деактивировать для него режим администратора устройства.
В случае использования на устройстве антивирусного ПО ESET Mobile Security, оно сможет выполнить операцию удаления нежелательного ПО вместо пользователя, но перед этим в антивирусе нужно активировать функцию обнаружения нежелательного ПО в меню расширенных настроек (Antivirus -> Advanced Settings -> Detect Potentially Unwanted Applications).
![](https://habrastorage.org/files/cc2/631/6db/cc26316db898472d8f5ab99f4b1d572b.png)
Рис. Функция обнаружения нежелательного ПО в приложении ESET Mobile Security.
В случае отсутствия установленного на устройстве ESET Mobile Security, пользователь может вручную удалить приложения с использованием нижеописанных шагов.
![](https://habrastorage.org/files/ff5/816/ca7/ff5816ca74d84101815156be5b24fcb2.png)
![](https://habrastorage.org/files/ee6/592/fa2/ee6592fa2ae745229a8aa35791c83104.png)
Рис. Шаги, которые необходимо предпринять пользователю для удаления Android/AdDisplay.Cheastom.
После деактивации режима администратора, приложения могут быть удалены через настройки Android.
Заключение
Вышеприведенные приложения относятся к типу нежелательного ПО и созданы для того, чтобы показывать полноэкранные рекламные объявления. Они маскируются под приложения, которые имеют значительный размер и предоставляют читерские коды от игр своим пользователям. Приложения содержат в себе специальные функции по обходу механизма безопасности Bouncer магазина приложений Play.
Нежелательные возможности приложений не активируются в случае их запуска в эмуляторе или на одном из серверов, принадлежащих Google. Приложения также получают инструкции от удаленного C&C-сервера, который может инструктировать их на показ рекламы. Эти потенциально нежелательные приложения под общим названием AdDisplay являются примером приложений, которые очень раздражают пользователей своим поведением и тех, которые сложно удалить с устройства пользователя.
![](https://habrastorage.org/files/f1d/094/2d1/f1d0942d1daf48eea5c8abce9ba6ab3e.png)