A Trend Micro anunciou ter identificado dois aplicativos de leitor de código de barras na Google Play que apresentavam comportamento incomum: janelas que piscam e desaparecem, acontecendo mesmo quando o usuário não está usando o celular.
Tal comportamento foi utilizado como uma técnica de fraude de anúncios, constituindo uma nova campanha de adware. Juntos, esses apps foram baixados mais de um milhão de vezes.
“O aplicativo finge ser um leitor de código de barras, e realmente funciona como anunciado. No entanto, quando executado, ele também inicia um serviço em segundo plano e usa uma notificação recebida para mantê-lo em execução”, disseram os pesquisadores.
Esse serviço é disfarçado usando o nome do pacote “com.facebook”, mesmo não tendo relação com o Facebook.
O app solicita anúncios em intervalos de 15 minutos e também adiciona ouvintes para monitorar o status do anúncio.
Quando o anúncio é aberto, a página é fechada imediatamente, para que o usuário não veja o anúncio. Em vez disso, causa um “flash” visível.
Este método particular de adware se enquadra na categoria Fake Impressions: o anúncio foi de fato aberto e a visualização registrada, mas ele é fechado imediatamente. O anúncio não é visto pelos olhos humanos.
Esse processo ainda ocorre quando o usuário não está usando ativamente o dispositivo – e mesmo quando a tela está desligada.
Além disso, na lista de tarefas recentes no celular, o aplicativo malicioso usa o nome e o ícone de outros apps instalados para se disfarçar e evitar ser desinstalado caso o usuário suspeite de qualquer atividade estranha.
Este adware é distribuído através de dois aplicativos do mesmo desenvolvedor na loja Google Play.
Eles foram identificados como adware em 2019, mas, na época, eles não tinham o comportamento que foi documentado agora. Os usuários também notaram que o app tinha um comportamento malicioso já em 2018.
A Trend Micro informa que entrou em contato com o Google e os dois aplicativos já foram removidos.
