Adware para Android, que esconde ícone dos aplicativos, retorna ao Play Market

Desenvolvedores têm, há anos, incorporado código de anúncios em apps como uma maneira de ajudar a custear os gastos com desenvolvimento. Mas alguns deles simplesmente usam aplicativos como uma plataforma no limite de tornar-se abusiva apenas para exibir anúncios nos dispositivos mobile.

Recentemente, o SophosLabs descobriu 15 apps no Google Play que se envolvem nesse tipo de prática. Eles geram anúncios frequentes, grandes e intrusivos, e, literalmente, ocultam o ícone do aplicativo para dificultar a localização e a remoção do mesmo. Vários ainda vão além, disfarçando-se na página de configurações do smartphone.

De acordo com informações das páginas do Play Market para esses aplicativos, mais de 1,3 milhão de dispositivos em todo o mundo instalaram pelo menos um deles. Se usarmos histórias anteriores como referência, é provável que haja muitos mais a serem descobertos.

Apps com adware que esconde ícones, no Google Play

Por exemplo, o app free.calls.messages (Flash On Calls & Messages – também conhecido como Free Calls & Messages – exibido abaixo) envolve alguns truques inteligentes para impedir que os usuários o desinstalem.

Quando é iniciado pela primeira vez, exibe uma mensagem que diz "Este app é incompatível com o seu dispositivo!". Você pode pensar que ele falhou, porque, depois desse aviso, o app abre a Play Store e te leva para a página do Google Maps, induzindo você a pensar que esse aplicativo universal é a causa do problema. Mas não é. Isso é uma armação.

O aplicativo, então, oculta seu próprio ícone para que não apareça na bandeja de aplicativos. Outros apps desta lista também ocultam seus ícones: alguns fazem isso na primeira vez que são iniciados, enquanto outros simplesmente esperam um pouco depois de você instalá-los.

1. Inicialmente, o ícone do app aparece na bandeja de aplicativos, junto com os demais;
2. Após a instalação, o app aciona um aviso sobre ser "incompatível";
3. Então, o app abre a página do Google Maps na Play Store;
4. Quando o usuário retorna para a bandeja de aplicativos, o ícone do app com adware desapareceu.

Jogando sujo

O SophosLabs também observou esses aplicativos fazendo um truque desonesto: usando um nome e um ícone para o aplicativo (visíveis na página de configurações do smartphone) e um nome e um ícone diferentes para a Atividade Principal (a janela do app em execução).

Nove dos 15 aplicativos descobertos usavam ícones e nomes enganosos, sendo que a maioria parecia ter sido escolhida para parecer inofensivo. (O ícone do aplicativo ainda está visível no menu Configurações do telefone, dentro de Apps.)

Ocultando o ícone do iniciador e usando um ícone e um nome que se assemelham aos de um aplicativo do sistema, esses apps são convincentes para um observador casual, que acredita que não há nada incomum instalado no smartphone.

Código do app Adware, que usa ícones diferentes para o aplicativo (que aparece no menu de configurações do telefone) e atividade principal

Outros apps usam uma biblioteca, chamada koolib, que instala um serviço para ocultar o ícone em um tempo predeterminado após a instalação do aplicativo. Isso não é kool, aplicativo.

Código que oculta ícones no koolib

A maioria desses aplicativos é apresentada aos usuários como algum app utilitário. Leitores de QR code, editores de imagens, utilitários para backup, localizador de telefone e, mais ironicamente, um utilitário usado ostensivamente para limpar os dados privados do seu smartphone. Os apps se disfarçavam ainda mais usando um nome inofensivo, como Google Play Store, Atualização, Backup ou Serviço de Fuso Horário. Esses nomes aparecem apenas nas configurações do telefone.

1. O ícone de um app com adware aparece abaixo do ícone legítimo da Play Store
2. Muitos usam nomes e ícones genéricos, como "Atualização"
3. Cuidado, este ícone genérico não é um legítimo app para backup
4. Seu smartphone já tem um serviço incluído para acompanhar fuso-horários: o relógio

Todos esses aplicativos apareceram durante esse ano. O mais antigo deles, free.calls.messages, foi publicado em janeiro. Dois meses depois, já tinha mais de um milhão de instalações. Embora tenham sido disponibilizados ao mercado por diferentes contas, muitos compartilham estrutura de código, interface do usuário, nomes de pacotes e comportamento semelhantes - demais para que isso seja considerado uma coincidência.

Por exemplo, o aplicativo com.cc.image.editor continha dentro de seu código uma referência a um app diferente, o com.bb.image.editor. Os dois aplicativos, apesar dos nomes parecidos, foram publicados por entidades completamente diferentes. Isso nos sugere que o primeiro pode ter sido derivado do último, mas não podemos dizer definitivamente que o mesmo autor desenvolveu os dois.

Timeline do free.calls.messages

Usuários não gostaram do adware

A maioria desses aplicativos recebeu avaliações negativas dos usuários, muitos dos quais se queixaram de que os apps não podiam ser executados, de que o ícone desapareceu e, é claro, dos anúncios agressivos.

O uso de adware no Android deu uma guinada sombria com o uso desses truques persistentes. Ao aprimorar técnicas cada vez mais inovadoras para permanecer instalados no smartphone, aplicativos como esses podem infectar rapidamente um grande número de vítimas, mesmo poucas semanas após o lançamento. Os usuários devem prestar muita atenção às avaliações dos usuários antes de instalar apps disponíveis no Google Play (e não serem a primeira pessoa a experimentar um aplicativo totalmente novo).

O SophosLabs notificou o Google sobre esses apps em julho e, até onde sabemos, eles foram removidos. Esses apps são detectados pelo Sophos Mobile Security como Andr/Hiddad-AB e Andr/Hiddad-AC.

Aprenda comigo, um gato: fique longe desses apps