1 ответов в теме

[blashyrkh888]

Добрый день!

 

Ситуация следующая - есть одно интересное рекламное SDK для мобильных приложений, которое показывает рекламу после того, как пользователь разблокирует экран. В Google Play уже встретил дюжину приложений с этой вредоносной рекламой. Выглядит реклама вот так - https://www.youtube.com/watch?v=UkRAu2xcuTU. На 4pda на 10 страниц обсуждения как с этим бороться, да и десятки вопросов видел на других форумах. Вручную в принципе легко обнаружить и удалить (через logcat). Определять такие приложения проще некуда - в манифесте объявлены определенные компоненты. Предполагаю, что таких приложений будет далеко не дюжина, т. к. sdk довольно-таки качественное и с богатым функционалом (умеет менять dns, домашнюю страницу в браузере, создавать ярлыки по команде с сервера).

 

На данный момент Dr.Web никак не реагирует на приложения с этой рекламой. Да, данные пользователя не воруют, но телефоном пользоваться становится затруднительно и для обычного пользователя найти причину непросто. Тем более, что реклама само собой очень сомнительного качества. Может все-таки стоит как-то хотя бы предупреждать пользователей об этом?

 

Вот пару примеров приложений с Google Play с такой рекламой:

https://play.google.com/store/apps/details?id=com.cardgame.durak

https://play.google.com/store/apps/details?id=com.iwolt.iqtest

https://play.google.com/store/apps/details?id=com.sweet.world.history

 

Во всех одно и тоже рекламное sdk встроено, единственное отличие - это сколько времени приложение выжидает перед началом показа рекламы.

Чтобы воспроизвести такой показ рекламы:

• Устанавливаем приложение
• Запускаем один раз
• Перегружаем устройство
• Переводим дату вперед на недельку
• Перегружаем еще раз

Теперь каждый раз при разблокировке экрана из ниоткуда будет открываться ссылка в браузере с рекламой или отображаться рекламный баннер.

Я уже потратил немного времени на декомпиляцию и изучение sdk, так то скину более подробное описание, почему я вообще решил, что виноваты эти приложения и немного информации об этом sdk (извиняюсь, что in english, это выдержка из жалобы в гугл):

If you are interested here is more technical explanation why I'm sure that this particular app is responsible for these ads and other violations.

When I press power button on my device and unlock it I see the following lines in Logcat:

 

01-31 02:15:13.303: D/Microlog(3020): Microlog 1669935:[DEBUG]-Open url external. Start with intent: Intent { act=android.intent.action.VIEW dat=http://brodero.com/v2/b/rs?agid=af70e9985-a73c-46d6-a24e-a7e112748cf7&vid=3ad864d4-643d-4f55-8dbd-ae76ebf08bbc&bgid=ba6195268-bfaa-451c-8736-aba9b7449306&u=http://terigal.ru/7utq44kvjob6n2rq47av5t9122twv5ob511x1pxpj4q&dyn=xK9dZt_ZDOxeAvvtziYEB32B-KaPEp3_gYayyDZDVS0&sig=eqrEar8HUBLiNU87e0xioQ&ts=1421968510077&m=0flg=0x10000000 cmp=com.android.chrome/com.google.android.apps.chrome.Main }

01-31 02:15:13.306: I/ActivityManager(734): START u0 {act=android.intent.action.VIEW dat=http://brodero.com/v2/b/rs?agid=af70e9985-a73c-46d6-a24e-a7e112748cf7&vid=3ad864d4-643d-4f55-8dbd-ae76ebf08bbc&bgid=ba6195268-bfaa-451c-8736-aba9b7449306&u=http://terigal.ru/7utq44kvjob6n2rq47av5t9122twv5ob511x1pxpj4q&dyn=xK9dZt_ZDOxeAvvtziYEB32B-KaPEp3_gYayyDZDVS0&sig=eqrEar8HUBLiNU87e0xioQ&ts=1421968510077&m=0flg=0x10000000 cmp=com.android.chrome/com.google.android.apps.chrome.Main} from uid 10065 on display 0

 

So browser url intent is started from process with PID 3020. When I execute commands 'adb shell' and then 'ps | grep 3020' in order to see which process has this PID. I get the following output:

 

shell@hammerhead:/ $ ps | grep 3020

ps | grep 3020

u0_a65 3020 195 1534568 66696 ffffffff 00000000 S com.cardgame.durak

 

So package name is 'com.cardgame.durak'. After some investigation of APK file of this game I've found the most interesting components declared in manifest:

- Broadcast receiver 'mobi.dash.overapp.DisplayCheckRebootReceiver' registered to respond to BOOT_COMPLETED action. This receiver is responsible for waiting, app can wait for weeks and stay invisible

- Service 'mobi.dash.overapp.DisplayCheckService' which is responsible for showing ads and receiving commands from remote server.

There also few other 'mobi.dash.*" components but these two are the most important.

 

APK file contains config file for 'mobi.dash' ad sdk. It is called 'ads_settings.json' and it is stored under 'res\raw' folder. It configures how long app should wait before showing ads (e. g. 'overappStartDelaySeconds' property, in this particular case it has 86400 value, which means one day, 24 hours * 60 minutes * 60 seconds).

Also APK file contains malicious code inside package 'mobi.dash.*'. For example there is class called 'mobi.dash.homepage.AdsHomepageUtils' which can change browser homepage and 'mobi.dash.shortcuts.AdsShortcutUtils' when command server sends appropriate message.

 

 

Очень надеюсь, что это sdk будет внесено в вирусные базы.

[pig]

Вам сюда: https://vms.drweb.com/sendvirus/?lng=ru