約4.4億Android用戶安裝了帶有廣告插件的APP

 去年，大約有4億Android用戶從官方的Google PlayStore下載了APP，該商店中帶有包括激進(jìn)、過(guò)時(shí)廣告的廣告庫(kù)。

這個(gè)名為BeitaPlugin的廣告庫(kù)被發(fā)現(xiàn)嵌入238個(gè)應(yīng)用程序中，KristinaBalam，Kookout的安全情報(bào)工程師在今天發(fā)表的一份報(bào)告中表示。

巴蘭說(shuō)，望望向谷歌通報(bào)了圖書(shū)館的侵入行為，谷歌又通知了所有受影響的應(yīng)用程序“開(kāi)發(fā)者”。

"截至2019年5月23日，GooglePlay上230+受影響的應(yīng)用程序已被刪除或更新為沒(méi)有BeITA插件的版本，"巴蘭說(shuō)。

在過(guò)去的幾個(gè)月里，官方的GooglePlayStore面臨著一系列的廣告感染[1，2，3，4，5]。Beititplugin只是最新的軟件開(kāi)發(fā)人員工具包(SDK)，它是在合法應(yīng)用程序內(nèi)部出現(xiàn)錯(cuò)誤行為的長(zhǎng)期廣告庫(kù)中。

但這不是一開(kāi)始的情況。BeitaPlugin自2018年開(kāi)始以來(lái)一直在使用，并且對(duì)于其中的大多數(shù)，SDK已經(jīng)按照預(yù)期的方式工作，為應(yīng)用程序開(kāi)發(fā)人員提供了一個(gè)簡(jiǎn)單的軟件包，可以在應(yīng)用程序內(nèi)部自動(dòng)顯示在線廣告。

SDK在開(kāi)發(fā)人員圈里是值得信賴的，因?yàn)樗鼇?lái)自一家合法的公司--中國(guó)移動(dòng)互聯(lián)網(wǎng)公司cookitek----他使用它作為它的TouchPal應(yīng)用程序的廣告組件，一個(gè)由超過(guò)1億用戶安裝的自定義鍵盤應(yīng)用程序。

但今年的一些時(shí)候，SDK開(kāi)始行為不端，濫用了其他開(kāi)發(fā)人員投入的信任。

從2月和3月開(kāi)始，使用北太插件的應(yīng)用程序的用戶開(kāi)始注意到大量的廣告和彈出窗口，這些廣告和彈出窗口在運(yùn)行應(yīng)用程序之外突然顯示出來(lái)，并阻礙了對(duì)手機(jī)屏幕和功能的訪問(wèn)。

"雖然過(guò)時(shí)的廣告并不是特別新穎的,但是由這個(gè)插件服務(wù)的那些廣告使電話幾乎不可用,"巴蘭說(shuō)."由于廣告的持久性和普遍性，用戶報(bào)告無(wú)法應(yīng)答呼叫或與其他應(yīng)用程序交互。"

BeitaPlugin開(kāi)發(fā)人員似乎已經(jīng)知道這種行為不會(huì)與他們的用戶很好地坐在一起，并試圖通過(guò)嚴(yán)重混淆他們的代碼來(lái)隱藏SDK的積極的新廣告實(shí)踐。

此外，在用戶第一次打開(kāi)受污染的應(yīng)用程序后，他們還將任何廣告和彈出式顯示推遲了24小時(shí)，這使得用戶很難找到廣告的來(lái)源。

然而，SDK的可疑行為最終被發(fā)現(xiàn)時(shí)，它的侵略性彈出吸引了訓(xùn)練有素的移動(dòng)安全研究人員的目光，他們很快就發(fā)現(xiàn)了所有用戶問(wèn)題的來(lái)源。

Bileam關(guān)于BeitaadAdware的報(bào)告包含用于插入BeitaPlugin代碼的238個(gè)應(yīng)用程序的完整列表。 用戶可以查看此列表，以查看是否已安裝這些應(yīng)用程序，并對(duì)其進(jìn)行更新為不包括BeitaPlugin代碼的新版本或從其設(shè)備中刪除應(yīng)用程序。