在 Google Play 商店的安卓应用程式中，出现了令人不快的惊讶 – Avast

激进的广告软体（adware）

音乐、照片编辑及健身应用中的激进广告软体不会轻易消失，它们试图说服用户安装更多应用。

透过 Avast 的移动威胁情报平台 ，我们在 Google Play 商店中发现了 50款广告软体应用。这些应用的安装量从 5K 到 500 万不等。这些广告软体相当烦人，因为它们持续显示全萤幕广告，有时还试图说服用户安装其他应用。

这些广告软体应用之间是通过使用第三方 Android 函式库来联系的，这些函式库绕过了新版本 Android 的背景服务限制。虽然这种绕过本身并不是在
Play 商店中明确禁止的，但 Avast 将其检测为 Android:Agent-SEB [PUP]
，因为使用这些函式库的应用会浪费用户的电池，并使设备变得更慢。本文中提到的应用利用这些函式库持续向用户显示越来越多的广告，这违反了 Play 商店的规定。

我们将基于这些函式库的广告软体称为「TsSdk」，因为这个术语是在首次版本的广告软体中发现的。

根据 Avast 的研究，这些广告软体在被从 Google Play 商店移除之前，已经安装了 3000 万次。我们已与 Google合作，所有样本在本文发布前已从 Play 商店中移除。

通过 apklab.io，我们在 Play 商店中找到了两个版本的
TsSdk，目前所有这些版本都由相同的代码连接。以下是对这两个版本的描述，从最旧的到最新的广告软体版本。

版本 A

TsSdk 的最早版本，我们称之为“版本 A”，安装了 360 万次。包含广告软体的应用是一些简单的游戏、健身和照片编辑应用。

版本 A 最常在印度、印尼、菲律宾、巴基斯坦、孟加拉和尼泊尔安装。

上图是包含 TsSDK 的应用示例。

一旦安装，大多数包含版本 A 的应用在 Google Play页面中看似「如预期运行」，但却隐藏了令人厌恶的额外惊喜：会在主屏幕上添加应用的快捷方式，以及一个游戏中心，当用户打开萤幕时会显示全萤幕广告。在某些版本 A的变体中，当用户使用设备时也会定期显示广告。。

版本 A 的代码并不难以识别，广告软体的 SDK 容易被发现。这也是两个版本中相对不那么普遍的版本。一些版本 A的变体也包含下载进一步应用的代码，提示用户安装它们。

版本 A最有趣的地方是，大多数样本还在受感染设备的主屏幕上添加了「游戏中心」的快捷方式，其中显示不同游戏的广告：http://h5games.top/。

这很有趣，因为「H5GameCenter」这个名称也是去年的中出现的。我们不确定这两者是否有联系。它们之间可能有某种关系，或者游戏中心的开发者在 Cosiloon 和 TsSdk 中都购买了广告。

版本 B

TsSdk 的第二个版本，我们称之为“版本 B”，安装了近 2800 万次。此广告软体包含在健身和音乐应用中。

版本 B 最常在菲律宾、印度、印尼、马来西亚、巴西、尼泊尔和英国安装。

看来广告软体的开发者在版本 B 上花了更多心思，因为它的外观较新，代码的保护也更好。广告软体的代码使用了 Tencent的打包器进行加密，这对分析师来说难以解包，但在 中的动态分析中可以轻易捕获。

我们尚未在我们的设备上成功显示版本 B 的广告，因为它在实际部署全萤幕广告功能之前进行了几项检查。首先，广告软体仅在用户通过点击 Facebook广告安装应用时才会触发。该应用可以使用 Facebook SDK的功能「」来检测这一点。

我们不是在 Facebook 上看到广告，而是在 Play 商店中寻找受感染的应用，因此广告未显示。

• https://www.facebook.com/pg/Fly-Tunes-1992894597409025/ads/?ref=page_internal
• https://www.facebook.com/Floating-Tunes-2095281697456554/
• https://www.facebook.com/Lemon-Tunes-1089284337886145/?ref=br_rs
• https://www.facebook.com/One-Music-1470634699657298/

它还仅在应用安装的前四小时内显示广告，然后频率大幅降低。根据代码，我们知道在头四小时内，当手机解锁时，全萤幕广告会随机显示，或者每 15分钟显示一次，时间点为每小时 15 分、30 分和 45 分，非常有趣的是，代码中的最后一个时间点显示为 61分钟，显然无论开发者生活在哪个地方，「一小时」应该是 60 分钟：

版本 B 在 Android 8.0 及以上版本上似乎无法运行，这是因为这些新版本中背景服务管理方面的变更。然而，截至目前，几乎 80% 的设备仍在使用旧版
Android 。

尽管我们在测试设备上未能触发广告，但代码明确设置为显示侵入性广告，且用户评价几乎都毫不留情：

样本

由于样本数量众多，我们仅选择了每个应用的最新 APK 并放入这个
。

Google Play 商店及 Facebook 页面的截图可以在
获得。

请注意，许多版本 A 的应用之前已经在 Play 商店上，但 Google 在我们的研究完成之前已经将它们移除，包括 。

避免广告软体的建议

• 安装值得信赖的防毒应用。防毒软体作为一个安全网，可以保护您免受广告软体的侵害。
• 下载应用时要谨慎。在安装新应用之前，查看应用评论，仔细阅读正面和负面评价。如果评论者提到「这款应用无法如承诺运行」或「这个应用充满广告软体」，那么下载前再三考虑！像这样的评论是某种异常的警示信号。
• 请始终仔细检查应用的权限，确保其合理性。授予不正确的权限可能会将敏感数据发送给网路犯罪分子，包括设备上存储的联络人信息、媒体文件及个人聊天的内容。如果有任何异常或超出应有范围的情况，则不应下载该应用。