A Trend Micro identificou recentemente dois aplicativos de leitor de código de barras na Google Play que começaram a mostrar um comportamento incomum: janelas que piscam e desaparecem, acontecendo mesmo quando o usuário não está usando o celular. Tal comportamento foi utilizado como uma técnica de fraude de anúncios, constituindo uma nova campanha de adware. Juntos, esses apps foram baixados mais de um milhão de vezes.
Notícia relacionada
O aplicativo finge ser um leitor de código de barras, e realmente funciona como anunciado. No entanto, quando executado, ele também inicia um serviço em segundo plano e usa uma notificação recebida para mantê-lo em execução. Esse serviço é disfarçado usando o nome do pacote “com.facebook”, mesmo não tendo relação com o Facebook.
O app solicita anúncios em intervalos de 15 minutos e também adiciona ouvintes para monitorar o status do anúncio. Quando o anúncio é aberto, a página é fechada imediatamente, para que o usuário não veja o anúncio. Em vez disso, causa um “flash” visível. Este método particular de adware se enquadra na categoria Fake Impressions: o anúncio foi de fato aberto e a visualização registrada, mas ele é fechado imediatamente. O anúncio não é visto pelos olhos humanos.
Esse processo ainda ocorre quando o usuário não está usando ativamente o dispositivo – e mesmo quando a tela está desligada. Além disso, na lista de tarefas recentes no celular, o aplicativo malicioso usa o nome e o ícone de outros apps instalados para se disfarçar e evitar ser desinstalado caso o usuário suspeite de qualquer atividade estranha.
Este adware é distribuído através de dois aplicativos do mesmo desenvolvedor na loja Google Play. Eles foram identificados como adware em 2019, mas, na época, eles não tinham o comportamento que foi documentado agora. Os usuários também notaram que o app tinha um comportamento malicioso já em 2018. A Trend Micro entrou em contato com o Google dois aplicativos já foram removidos.
Participe das comunidades IPNews no Facebook, LinkedIn e Twitter