Исследователи мобильной безопасности компании Lookout рассказали об очередной угрозе, с которой могли столкнуться пользователи Android-устройств. Речь идёт о скрытом рекламном ПО в проверенных приложениях в Google Play с более чем 440 млн загрузок. При этом оно настолько агрессивное, что делает мобильные устройства практически непригодными для использования.
Это рекламное ПО, получившее название BeiTaAd, представляет собой плагин, который, по словам экспертов, скрывался в 238 приложениях китайского издателя CooTek, включая клавиатуру TouchPal. После их установки изначально всё работало нормально, но спустя какое-то время (от 1 до 14 дней) плагин начинал показывать рекламные объявления вне приложения. Они появлялись случайным образом: на экране блокировки, во время телефонных разговоров и срабатывания будильника, даже когда смартфон находился в спящем режиме. Это были не только обычные баннеры, но и видеореклама с включенным звуком.
Первые жалобы пользователей о проблеме стали появляться ещё в ноябре прошлого года, в них отмечалось, что вездесущая реклама сильно раздражает, и устройством невозможно пользоваться нормально. В Lookout отметили, что разработчики сделали всё возможное, чтобы плагин нельзя было обнаружить. В ранних версиях приложений он скрывался в виде незашифрованного dex-файла под названием beita.renc внутри каталога assets/components. Позже его зашифровали и переименовали в icon-icomoon-gemini.renc, а затем и вовсе использовали стороннюю библиотеку StringFog с кодированием XOR и base64, чтобы скрыть каждое упоминание «BeiTa» в файлах.
Компания Lookout сообщила Google о BeiTaAd, и поисковый гигант вскоре начал принимать меры — некоторые приложения впоследствии были удалены из Google Play, в других разработчик (вероятно) просто убрал вредоносный плагин. Тем не менее CooTek не был заблокирован или каким-то иным образом наказан за нарушение правил публикаций в Google Play. С полным перечнем опасных приложений можно ознакомиться в соответствующей статье в блоге Lookout.