238 de aplicaţii din magazinul Google Play, infectate cu adware chinezesc care bombardează utilizatorii cu reclame

Deşi se mai întâmplă ca aplicaţii de Android infectate să treacă de filtrele automate implementate de Google, acestea sunt descoperite rapid şi eliminate din catalogul Play Store. Mascarea activităţilor clandestine pentru a evita detecţia pe termen lung este dificil de făcut, iar strecurarea a peste 200 de aplicaţii infectate în magazinul oficial de aplicaţii Android reprezintă o performanţă în sine.

Numit BeiTaAd, sau BeitaPlugin, adware-ul este produsul unei companii numită CooTek, cu sediul în oraşul Shanghai. Rolul său este de a ocoli limitările impuse de Google pentru afişarea de reclame. Astfel, dispozitivele compromise ajung să afişeze mult mai multe reclame decât în mod normal şi în locuri în care acestea nu ar trebui să apară, cum ar fi meniul lockscreen şi în timpul desfăşurării apelurilor. Reclamele afişate în mod intrusiv afectează în mod negativ experienţa de utilizare Android şi consumă resurse importante de memorie şi procesor.

Pentru a nu atrage prea multă atenţie, autorul CooTek a strecurat componenta BeiTaAd mai ales în aplicaţii care servesc drept addon-uri pentru tastatura TouchPal, de asemenea dezvoltată de producătorul chinez.

Pentru a masca prezenţa modului adware, CooTek a recurs la scheme ingenioase de ascundere a codului executabil în fişiere criptate, modificate apoi pentru a semăna cu alte fişiere inofensive (ex. imagini). Plugin-ul BeiTaAd a fost modificat constant pentru a evita detecţia, nefiind înlăturat din aplicaţiile compromise decât după acestea au cumulat peste 400 milioane de descărcări.

Având în vedere succesul acestei metode de compromitere a aplicaţiilor, este posibil ca incidentul să nu fie unul singular, alte aplicaţii de Android infectate rămânând nedescoperite în magazinul Google Play.