Εβδομήντα πέντε Android εφαρμογές, που είναι διαθέσιμες για κατέβασμα από το επίσημο Google Play Store, έπρεπε να αφαιρέσουν μία κακόβουλη library για διαφημίσεις, η οποία περιείχε κρυφά ένα adware που ονομάζεται AdDown, και που το είχαν ανακαλύψει οι ερευνητές της Trend Micro πριν δύο χρόνια.
Αυτό το adware εμφανίστηκε τον Ιανουάριο του 2015 και εκτός από την εμφάνιση διαφημίσεων σε μολυσμένες χρήστες, είχε επίσης την ικανότητα να συλλέγει δεδομένα προσωπικού χαρακτήρα από τα θύματά του, και σε ένα σημείο θα μπορούσε ακόμα και να εγκαταστήσει κρυφά διάφορες εφαρμογές χωρίς να το γνωρίζει ο χρήστης.
Με την πάροδο του χρόνου, η Trend Micro αναφέρει ότι το adware ανιχνεύθηκε σε πάνω από 800 Android εφαρμογές που ανέβηκαν στο Play Store, συνήθως ως μικρά utilities, όπως μετατροπείς ταπετσαρίας, editors φωτογραφιών, και φακός.
Μετά από μια σε βάθος ανάλυση των εφαρμογών που είχαν μολυνθεί από τον AdDown κατά τα τελευταία δύο χρόνια, οι ερευνητές ήταν σε θέση να προσδιορίσουν τρία βασικά στάδια της εξέλιξής του, που ονομάζονται: Joymobile, Nativedown, και Xavier.
Το πρώτο στάδιο της εξέλιξης του adware ήταν και η πιο απλή έκδοση του, αλλά ήταν επίσης αυτός με τα πιο ενοχλητικά χαρακτηριστικά, που ερχόντουσαν εξοπλισμένα με μια μέθοδο για την εγκατάσταση τρίτων εφαρμογών πίσω από την πλάτη του χρήστη.
Στο δεύτερο στάδιο απομακρύνεται αυτή τη μέθοδο εγκατάστασης, αφήνοντας μόνο ένα που απαιτείται έγκριση του χρήστη, αλλά βελτιώθηκε σε άλλα χαρακτηριστικά, όπως η κρυπτογράφηση comms, εσωτερικό string obfuscation, και φιλτράρισμα ανάλογα με τον χρήστη για την καλύτερη προσωποποίηση των διαφημίσεων.
Το τρίτο και τελευταίο στάδιο του AdDown εντοπίστηκε για πρώτη φορά τον Σεπτέμβριο 2016 και ενώ είχε γενικά βελτιωμένα χαρακτηριστικά σε σχέση με το δεύτερο στάδιο, προστέθηκε επίσης η υποστήριξη για την ανίχνευση και αποφυγή περιβάλλοντος sandbox.
Αυτή η έκδοση αφαιρεθεί επίσης τη δυνατότητα να εγκαταστήσετε εφαρμογές τρίτων κατασκευαστών, πιθανότατα επειδή ο συντάκτης του adware συνειδητοποίησε ότι το adware θα έχει περισσότερες πιθανότητες να παραμείνει απαρατήρητο αν έδειχνε διαφημίσεις περιστασιακά, και να μην αναγκάσει τις εφαρμογές να πνίξουν τον χρήστη στις διαφημίσεις.
Οι ειδικοί λένε ότι κατά τη διάρκεια των δύο τελευταίων ετών, εκατομμύρια χρήστες φαίνεται να έχουν κατεβάσει και να εγκαταστήσει εφαρμογές που έχουν μολυνθεί με μία από αυτές τις τρεις εκδόσεις του AdDown adware. Ο ερευνητής της Trend Micro κος Ecular Xu ανέφερε ότι ο AdDown διανεμήθηκε σε διάφορους προγραμματιστές εφαρμογών ως διαφήμιση SDK, γεγονός που εξηγεί γιατί βρέθηκε σε τόσες πολλές εφαρμογές. Ο Xu δημοσίευσε μια λίστα με τις εφαρμογές που ήδη έχει μολυνθεί, αλλά που έχει πλέον αφαιρεθεί ο AdDown από τον κώδικά τους:
PackageName | Λήψεις | Ημερομηνία Κατάργηση Xavier |
com.ijksoftware.pdfcreator.camscanner | 10000-50000 | 2017/5/13 |
com.writeonpicture.textphoto | 100000-500000 | 2017/5/13 |
com.inateam.cooler.master | 500000-1000000 | 2017/5/13 |
com.equalizer.volumebooster | 1000000-5000000 | 2017/5/13 |
com.styletext.font.textonphotos | 100000-500000 | 2017/5/14 |
com.easytool.screenoff | 100000-500000 | 2017/5/13 |
com.inateam.pdfreader | 100000-500000 | 2017/5/13 |
com.placideagles.volumebooster | 500000-1000000 | 2017/5/13 |
com.allinOne.openquickly | 1000000-5000000 | 2017/5/13 |
com.inateam.ziprar | 100000-500000 | 2017/5/13 |
com.coramobile.speedbooster.cleaner | 1000000-5000000 | 2017/5/13 |
com.coramobile.security.antivirus | 1000000-5000000 | 2017/5/12 |
com.cleaner.memorybooster.ramoptimizer | 1000000-5000000 | 2017/5/13 |
com.coramobile.powerbattery.batterysaver | 100000-500000 | 2017/5/12 |
com.pdfviewer.pdfreader.edit | 500000-1000000 | 2017/5/13 |
com.cutterringtone.mp3cutter | 100000-500000 | 2017/5/14 |
com.coramobile.phonecooler.cpucoolermaster | 1000000-5000000 | 2017/5/12 |
com.autolockscreen.taptaplock | 50000-100000 | 2017/5/13 |
com.easycapture.screenshot | 50000-100000 | 2017/5/14 |
com.unziptool.rarextractor | 50000-100000 | 2016/11/18 |
com.convertmp3.videoconverter | 50000-100000 | 2017/5/13 |
com.lollicontact.caller | 50000-100000 | 2017/5/13 |
com.fattys.automaticcallrecording | 100000-500000 | 2017/5/13 |
com.ponosnocelleh.lolipoptheme | 50000-100000 | 2017/5/13 |
com.ponosnocelleh.threedtheme | 100000-500000 | 2017/5/13 |
com.mothrrmobile.volume | 100000-500000 | 2017/5/13 |
com.greenapp.voicerecorder | 10000-50000 | 2017/5/13 |
com.sunny.text2photo | 100000-500000 | 2017/5/13 |
com.fingerprint.lockscreen.prank | 100000-500000 | 2017/5/13 |
com.keeprr.cutpastephoto | 100000-500000 | 2017/5/13 |
com.billowy.equalizer.bassbooster | 100000-500000 | 2017/5/13 |
com.fattysgui.beautyfont | 100000-500000 | 2017/5/13 |
com.aecenraw.emojionphoto | 50000-100000 | 2017/5/13 |
com.appworksui.myfonts | 100000-500000 | 2017/5/13 |
com.forecast.weatherlive.weather | 10000-50000 | 2017/5/13 |
com.finder.photo.imagessearch | 10000-50000 | 2017/5/13 |
com.galaxygame.fighterwar | 100000-500000 | 2017/5/13 |
com.djayfree.mp3djmix | 100000-500000 | 2017/5/13 |
com.qrscan.qrreader.qrcode | 10000-50000 | 2017/5/13 |
com.yamagame.stormfighter | 100000-500000 | 2017/5/13 |
com.minfiapps.screenshost_capture | 100000-500000 | 2017/5/13 |
com.photogrid.frame.photocollage | 10000-50000 | 2017/5/13 |
com.greenapp.slowmotion | 100000-500000 | 2017/5/13 |
net.camspecial.clonecamera | 500000-1000000 | 2017/5/13 |
com.rartool.superextract | 100000-500000 | 2017/5/13 |
com.fattystudioringtone.mp3cutter | 50000-100000 | 2017/5/13 |
com.aepictur.textphoto | 100000-500000 | 2017/5/13 |
com.live3d.wallpaperlite | 100000-500000 | 2017/5/13 |
com.xatedses.changehaircoloreye | 100000-500000 | 2017/5/13 |
com.podhengy.haircolor | 100000-500000 | 2017/5/13 |
com.mobilescreen.capture | 100000-500000 | 2017/5/13 |
com.keeprr.textonphoto | 100000-500000 | 2017/5/13 |
com.mobiletool.rootchecker | 100000-500000 | 2017/5/13 |
com.galaxy.strikeforce | 1000000-5000000 | 2017/5/13 |
com.podhengy.photoapp | 50000-100000 | 2017/5/13 |
com.albumpro.videoslide.galleryphoto | 50000-100000 | 2017/5/13 |
com.gpsonline.phonetracker | 500000-1000000 | 2017/5/13 |
com.maxmitek.livewallpaperaquariumfishfish | 50000-100000 | 2017/5/13 |
com.maxmitek.beachwallpaper | 50000-100000 | 2017/5/13 |
com.xatedsesmobile.picturesketch | 100000-500000 | 2017/5/13 |
com.efflicnetwork.ringtonecutter | 50000-100000 | 2017/5/13 |
com.gigmobile.booster | 100000-500000 | 2017/5/13 |
com.ponosnocelleh.launchers7 | 100000-500000 | 2017/5/13 |
com.magicvideo.editor.reversevideo | 50000-100000 | 2017/5/12 |
com.azurersweet.djvirtual | 500000-1000000 | 2017/5/12 |
com.sevideo.slideshow.videoeditor | 1000000-5000000 | 2017/5/12 |
com.fourapps.musicplayer.videoplayer | 100000-500000 | 2017/5/12 |
com.slowmotion.videoslow | 500000-1000000 | 2017/5/12 |
com.fourvideo.videoshow.videoslide | 1000000-5000000 | 2017/5/12 |
com.azurersweet.app2sdandremover | 100000-500000 | 2017/5/12 |
com.azurer.vpnproxy.supervpn | 500000-1000000 | 2017/5/12 |
com.azurersweet.launcher | 50000-100000 | 2017/5/12 |
com.appgpfaq.prankcrackscreen | 500000-1000000 | 2017/5/12 |
com.photoshow.videoeditor.slide | 100000-500000 | 2017/5/12 |
com.azurersweet.beautymakeup | 100000-500000 | 2017/5/12 |