O aplicație agresivă ce afișează anunțuri, păcălește utilizatorii să lase evaluări pozitive în magazinul online Google Play


Cercetătorii de la ESET au observat un număr crescut de aplicații în magazinul Google Play, ce utilizează tehnici de inginerii sociale pentru a stimula ratingurile lor, variind de la aplicații legitime la scheme de tip malware sau adware.

Printre aceste aplicații foarte bine cotate în mod fals, a fost reperat un troian agresiv ce afișează anunțuri, instalat de peste 5.000 de utilizatori drept o unealtă de descărcare de conținut de pe Youtube. Aplicația, detectată de ESET ca Android/Hiddad.BZ, utilizează o serie de metode înșelătoare pentru a păcăli utilizatorii să instaleze componenta sa intruzivă de afișare a anunțurilor publicitare și, în același timp, pentru a asigura o evaluare bună în magazinul online.

Pentru a realiza ultima acțiune menționată, aplicația perfecționează metoda de modă veche prin care se solicita un rating ridicat prin intermediul notificărilor afișate pe ecran – afișează anunțuri agresive și face promisiuni false conform cărora aceste anunțuri vor fi eliminate în schimbul unei evaluări de cinci stele.

Însă aceste stimulente oferite pentru o evaluare pozitivă reprezintă, cu toate acestea o promisiune falsă, din moment ce nu există nicio modalitate prin care dezvoltatorii codului malițios să se conecteze și să verifice comentariile specifice postate de către utilizatori și nici metode de  “recompensare” a celor care lasă evaluări de cinci stele. Mai mult decât atât, cu recompense sau fără, aplicațiile care promit orice utilizatorilor în schimbul unor evaluări ridicate neconforme Politicii Google Play pentru dezvoltatorii de aplicații.

Mai multe promisiuni false în magazinul online Google Play

Tehnici înșelătoare similare au fost utilizate recent într-o serie de aplicații din magazinul Google Play ce afișează anunțuri, ce au cumulat un număr de până la 800.000 de instalări, conform unei analize recente efectuate de către ESET.

Aceste aplicații “forțează” utilizatorii să lase ratinguri ridicate, sub diferite pretexte, crescând astfel potențialul de descărcare . Ce au  în comun aceste aplicațiile de obicei este o funcționalitate inexistentă; ecrane de tip pop-up care solicită o evaluare de cinci stele pentru a porni sau debloca tot conținutul aplicației sau pentru a elimina anunțurile publicitare; și un rating neobișnuit de ridicat.

Un prim exemplu în acest caz este jocul fals Subway Sonic Surf Jump, care solicită utilizatorilor să ofere cinci stele pentru aplicație în scopul de a porni jocul fictiv, în timp ce afișează anunț după anunț. Acest proces creează pentru aplicația instalată de aproximativ 500.000 de utilizatori un rating mediu de 4.1 și un mix ambiguu de evaluări de cinci stele urmate de comentarii de tip“doar-pentru-că-sunt-forțat”.

Figura 1 – Comentarii echivoce pentru Subway Sonic Surf Jump

În mod similar, aplicațiile populare la scară largă – cel puțin conform mediei care reiese din evaluări – Anime Wallpapers HD și Latest online movies încearcă să dea în schimb funcționalități pe care nu intenționează în mod real să le ofere pentru evaluări de cinci stele. Așa cum este cazul aplicației Subway Sonic Surf Jump, acest lucru devine evident în urma citirii recenziilor lăsate de utilizatorii frustrați.

Figura 2 – Capturi de ecran unde se solicită cinci stele în schimbul unei funcționalități

În unele cazuri, în care apar solicitărie de evaluările ce promit apoi recompense, identificate în special la nivelul unor jocurilor reale dar ușor  suspecte din pricina acestui comportament, dezvoltatorii pur și simplu îi recompensează pe toți cei care dau click pe notificarea de tip OK/RATE APP de pe ecran. Cu toate acestea, acest lucru nu se aplică aplicațiilor analizate în acest articol, care sunt complet false și nu își respectă promisiunile, indiferent de ce face utilizatorul.

Analiză pentru Android/Hiddad.BZ

Amenințarea detectată ca fiind Android/Hiddad.BZ a fost observată în magazinul Google Play sub forma a șapte versiuni, fiecare denumită drept o variantă ușor derivată  a “Tube.Mate” și “Snaptube”. Odată instalate, toate cele șapte aplicații apar ca “Music Mania” in lista de aplicații ale utilizatorului.

Acestea funcționează în același mod: funcționalitatea de descărcare de conținut de pe YouTube este combinată cu una de dropper. Aplicațiile au fost raportate de ESET pe 27 februarie și scoase din magazinul online, în consecință.

Figura 3 – Troienii din magazinul online Google Play

Figura 4 – Evaluarea ridicată pentru troianul identificat din magazinul Google Play

Cum operează?

După ce utilizatorul lansează aplicația descărcată, printr-un clic pe pictograma “Music Mania”, este încărcată componenta de afișare. Aceasta se manifestă sub forma unui ecran de sistem fals, unde se solicită instalarea unui “plugin Android” prin suprapunerea pe ecran până în momentul activării.

Făcând clic pe butonul de instalare, conținutul util pentru malware pentru afișarea anunțurilor este instalat. Utilizatorului i se solicită să activeze drepturile de administrator pe dispozitiv pentru “plugin-ul” fals printr-un alt ecran, ce nu poate fi ignorat.

Figura 5 – Componentă de afișare anunțuri deghizată sub forma unui “plugin android”

Figura 6 – Componentă de afișare de anunțuri ce solicită drepturi de administrator pentru dispozitiv

După acordarea drepturilor, utilizatorului i se afișează un ecran plin de anunțuri și i se cere în mod constant să evalueze aplicația cu cinci stele “pentru a elimina toate anunțurile”. Nerespectarea cerinței mesajului, prin accesarea opțiuni Cancel,  va avea ca rezultat un flux și mai mare de anunțuri pe dispozitivul utilizatorului, cu scopul de a-l provoca pe acesta să lase un rating la următoarea afișare a mesajului.

Figura 7 – Troianul ce afișează anunțuri; solicitarea un rating de cinci stele de la utilizator

Figura 8 –Anunțuri agresive în urma anulării solicitării de evaluare

Cum puteți curăța dispozitivul infectat?

Dacă ați descărcat această aplicație, veți putea vedea atât “Music Mania”, cât și “plugin android” în managerul de aplicații, “plugin android” fiind codul mali'ios responsabil pentru anunțurile agresive. Veți găsi, de asemenea, “Permisiunile necesare / Permission Required”  la categoria Device Administrators.

Dezinstalarea aplicației originale urmând ruta Setări -> Manger aplicații -> Music Mania nu va fi de ajuns pentru a elimina sarcina de plată. Pentru a putea curăța pe deplin dispozitivul și pentru a elimina aplicația Android/Hiddad.BZ, dezactivați drepturile de administrator din Setări -> Securitate -> Administratori dispozitiv -> Permisiuni necesare. Apoi, puteți trece la dezinstalarea “plugin-ului” din  Setări -> Application Manger -> plugin android.

Alternativ, utilizați o soluție fiabilă de securitate mobilă pentru a detecta amenințările și pentru a le putea elimina.

Figura 9 – Payload Malware la categoria Administratori dispozitiv activi

Figura 10 –Payload în Manager aplicații

Cum să rămâneți în siguranță

La vederea aplicațiilor malițioase care păcălesc utilizatorii să lase un review bun în magazinul Google Play, puteți începe să vă îndoiți de sfatul des repetat de a “verifica ce spun alți utilizatori înainte de descărcarea unei aplicații”.

Sfatul se aplică însă la fel de mult; doar că nu este suficient să verificați doar ratingul în stele al evaluărilor Pentru a obține o imagine de ansamblu pentru ceea ce oferă sau nu oferă aplicația, acordați mai mult timp pentru a putea citi recenziile celorlalți utilizatori. Așa cum s-a demonstrate în cazurile prezentate mai sus, utilizatorii reali tind să fie onești în evaluările lor – chiar dacă acest lucru presupune lamentări cu privire la modul forțat care i-a determinat să acorde cinci stele.

Captură video de la un dispozitiv infectat

Versiuni

Package Name Hash
com.baasdajie.zhofsdng 75D1730511E35774866546177B93AD8AE59F616D
com.baoertcji.hansdfszh 0C88D7F6742E4ECBD6FF032DDE989200EE385C8B
com.gannawen.dinergxi 8501D2BDEC7EFF8CE19CCBC6CF6B8EB33996B7C5
com.neigerj.gonfhgdgia 8033C35A86E3B8FFF0642B29D6CCDB57E7C2A2DA
com.shisfdyan.pingsgfshan DA7E8FA20E0718701B0198E0716C930556D4757C
com.suidfgdrning.zharetfou 2D32C51DE3B9043443038113A61785E010F05C87
com.yicsdfhang.dapdsfozhen 458049945049B2AE456F01B9DA7A4F5564DBEA1C
com.bajie.zhong 7F34FCC0783CF4526994065820220C4632303CD7

 

LUKAS STEFANKO

CORESPONDENT INDEPENDENT

oana March 16, 2017

Lasa un comentariu