Эксперты «Лаборатории Касперского» рассказали о назойливом рекламном ПО, с которым часто сталкиваются пользователи смартфонов. Как оказалось, зачастую оно предустановленно «из коробки», а 14,8% всех пользователей имеют дело с «неудаляемой» малварью, которая помещает себя в системный раздел, и попытки избавиться от нее могут привести к выходу устройства из строя.

Опасность adware

Исследователи рассказывают, что наблюдают две основных стратегии внедрения на устройство такой рекламы:  малварь получает на устройстве root-права и устанавливает рекламные приложения в системные разделы; отвечающий за отображение рекламы код (или его загрузчик) содержится в прошивке устройства еще до того, как оно попадет в руки потребителя.

Так как антивирус в экосистеме Android — лишь обычное приложение, он физически не может что-либо сделать с рекламным или вредоносным ПО, расположившимся в системных директориях. Это делает такую малварь серьезной проблемой, даже если речь идет лишь о рекламных программах. Стоящие за ними злоумышленники не гнушаются рекламировать (а по сути — принудительно устанавливать) практически все, за что им заплатят деньги. В итоге на устройстве пользователя может оказаться любая малварь.

Доля людей, которые сталкиваются с такими рекламными вредоносами, составляет 1–5% от общего количества пользователей защитных решений «Лаборатории Касперского»  (в зависимости от конкретного бренда). В основном это владельцы смартфонов и планшетов определенных брендов из нижнего ценового сегмента. Однако у некоторых популярных производителей, предлагающих недорогие устройства, этот показатель может доходить до 27%.

Существуют смартфоны с рекламными модулями, предустановленными самими производителями. Некоторые вендоры честно говорят о том, что встраивают рекламу в оболочки своих смартфонов, но одни при этом оставляют возможность отключать ее отображение, а другие, напротив, не дают такой возможности и называют свой подход бизнес-моделью, позволяющей снизить стоимость устройства для конечного пользователя.

При этом пользователю, как правило, не предоставляется выбор: купить устройство за полную цену или же чуть подешевле, но с пожизненной рекламой. Более того, ни в одном магазине электроники специалисты не обнаружили заметного и понятного предупреждения, что после покупки телефона пользователя будут заставлять смотреть рекламу. Иными словами, покупатели могут и не подозревать, что за собственные деньги покупают себе рекламный билборд.

Meizu

В компании Meizu не скрывают, что показывают рекламу в своих приложениях. Она довольно ненавязчивая, и ее даже можно выключить в настройках. Однако в предустановленном приложении AppStore (c4296581148a1a1a008f233d75f71821) исследователи выявили «скрытую рекламу»: она способна загружаться незаметно и отображаться в невидимых окнах (обычно такой подход используют для накрутки показов), расходуя трафик и заряд батареи.

При этом приложение также может загружать сторонний jаvascript-код и выполнять его, и предустановленный магазин приложений AppStore может отключать звук, получать доступ к SMS, копировать их содержимое и вставлять его в загруженные страницы.

Такой подход часто используется в откровенно вредоносных приложениях, служащих для оформления платных подписок без ведома пользователя. По мнению аналитиков, здесь остается лишь верить в порядочность организаций, управляющих рекламным модулем, и надеяться, что доступ к нему не получат третьи лица.

Оданко AppStore — не единственное подозрительное приложение в аппаратах Meizu. Также было замечено, что Meizu Music (com.meizu.media.music 19e481d60c139af3d9881927a213ed88) содержит зашифрованный исполняемый файл, служащий для загрузки и исполнения некого Ginkgo SDK.

О задачах этого SDK можно только догадываться: устройства Meizu далеко не всегда скачивают его, а актуальную версию специалистам получить не удалось получить. Однако те версии Ginkgo SDK, которые были изучены, занимались показом рекламы и установкой приложений без ведома пользователя.

Приложение com.vlife.mxlock.wallpaper (04fe069d7d638d55c796d7ec7ed794a6) также содержит зашифрованный исполняемый файл и в конечном итоге несет стандартные для «серых» рекламных модулей функции, в том числе и возможность скрытой установки приложений.

Исследователи подчеркивают, что обращались в Meizu по поводу вышеперечисленных находок, однако ответа так и не получили.

К сожалению, если пользователь приобрел устройство с такой предустановленной «рекламой», гарантированно удалить ее без риска повреждения системы зачастую невозможно. Остается лишь уповать на энтузиастов, создающих альтернативные прошивки.

Угрозы

Эксперты пишут, что среди наиболее распространенных примеров adware, устанавливаемой в системный раздел, — трояны Lezok и Triada. Второй примечателен тем, что рекламный код был встроен не куда-нибудь, а прямо в libandroid_runtime — ключевую библиотеку, которая используется практически всеми приложениями на устройстве. Хотя эти угрозы были выявлены несколько лет назад, пользователи продолжают сталкиваться с ними и сейчас.

Также, помимо сомнительных файлов на устройствах конкретного вендора, исследователи обнаружили еще одну проблему, затрагивающую огромное количество смартфонов. В памяти многих устройств есть файл /bin/fotabinder (3fdd84b7136d5871afd170ab6dfde6ca), который может скачивать файлы на устройства пользователей и выполнять на них код, полученный от одного из удаленных серверов: adsunflower[.]com, adfuture[.]cn или mayitek[.]com

Скорее всего, данный файл является частью системы обновления или тестирования, но зашифрованные адреса C&C и функции, способные предоставить удаленный доступ к устройству, выглядят подозрительно.

Но все это — только верхушка айсберга. В своем отчете исследователи подробно рассказывают о том, с чем еще сталкиваются пользователи сегодня и в каких еще системных приложениях был обнаружен «дополнительный» код.