• Welkom bij PiepComp Support.
    Last van problemen in Windows, malware, BlueScreensOfDeath, netwerkproblemen en nog veel meer,
    het geweldige team op dit mooie en gezellige forum is er om jou te helpen. Als gast kun jij enkel het forum bekijken en meelezen met de verschillende discussies. Jij kan echter geen reacties of commentaar geven op bestaande discussies, of nieuwe onderwerpen op het forum starten met jouw vraag, probleem of met andere leden communiceren. Als lid heb je ook de mogelijkheid deel te nemen aan een grote keur van andere forumonderwerpen die niet PC gerelateerd zijn.
    Registratie op dit forum is eenvoudig, is gratis en blijft gratis

Nieuws Nieuwe adware "BeiTaAd" gevonden en verborgen in populaire app's in de Androidapp store

Abraham54

Admin
Ondersteuning
Lid geworden
2 aug 2016
Berichten
10.648
Reaction score
968
Punten
113
Leeftijd
65
Nieuwe adware "BeiTaAd" gevonden en verborgen in populaire applicaties in de app store

BeiTaAd is een goed ontwikkelde reclameplugin die verborgen zit in een aantal populaire toepassingen in Google Play. De plugin geeft met geweld advertenties weer op het vergrendelingsscherm van de gebruiker, activeert video- en audio-advertenties, zelfs terwijl de telefoon slaapt, en toont out-of-app-advertenties die de interactie van een gebruiker met andere applicaties op hun apparaat verstoren.

Lookout heeft ontdekt dat 238 unieke toepassingen die BeiTaPlugin, adware die een mobiel apparaat bijna onbruikbaar maakt, in de Google Play Store.
Lookout meldde de schadelijke functionaliteit aan Google en de BeiTaPlugin is nu verwijderd uit alle betrokken apps in de Play Store.
Cumulatief, deze toepassingen zijn meer dan 440 miljoen maal geïnstalleerd, waarbij deze familie uniek is in zijn prevalentie en een niveau van verduistering gebruikt om het bestaan van de plugin's te verbergen.

Terwijl de overgrote meerderheid van de gratis mobiele applicaties hun apps via Ad SDK's of plugins te gelde maken, maken de hardnekkigheid van de advertenties in deze specifieke familie en de sluwheid die de ontwikkelaar beging om het bestaan ervan te verbergen in de BeiTaPlugin.

Achtergrond van de BeiTaAd Plugin


Alle apps die met BeitaPlugin zijn uitgebracht, zijn uitgegeven door mobiel internetbedrijf CooTek, opgericht in 2008 in Shanghai.
CooTek werd in 2018 genoteerd op de NYSE en is vooral bekend om zijn populaire keyboard app TouchPal.
Het BeiTaPlugin pakket, com.cootek.beita.plugin, is verrassend gebundeld in TouchPal, evenals tal van add-ons op hun populaire TouchPal toetsenbord en diverse zeer populaire gezondheids- en fitnessapps.




Figuur 1. De Google Play pagina van CooTek's populaire TouchPal app met meer dan 100.000.000.000+ installaties.

Hoewel out-of-app-advertenties niet bijzonder nieuw zijn, maken deze plugins de telefoons bijna onbruikbaar.
Gebruikers hebben gemeld dat ze niet in staat zijn om oproepen te beantwoorden of te interageren met andere apps, vanwege de hardnekkige en alomtegenwoordige aard van de weergegeven advertenties. Deze advertenties bombarderen de gebruiker niet onmiddellijk na de installatie van de inbreukmakende toepassing, maar worden minstens 24 uur na de lancering van de toepassing zichtbaar. Opdringerige advertenties verschenen bijvoorbeeld pas twee weken nadat de toepassing, Smart Scan (com.qrcode.barcode.reader.scanner.free), was gelanceerd op een Lookout testapparaat.

Gebruikers hebben gelijkaardige ervaringen gedocumenteerd op een Android forumdiscussie van meerdere maanden, alsook in reviews die op de Google Play-pagina's van de applicaties zijn achtergelaten.


Figuur 2. Google Play beoordelingen van gebruikers die hun ervaring met de BeiTaPlugin out-of-app advertenties documenteren.

De verborgen plugin

De BeiTa plugin is sinds de eerste release begin 2018 meerdere malen gereviseerd. Eerdere versies van toepassingen die de BeiTa plugin bevatten, doen dit als een onversleuteld dex-bestand, beita.rec, in de assets/componenten directory van het pakket.

In recentere iteraties is de BeiTa plugin hernoemd naar de onschuldige, icon-icomoon-gemini.renc, en is gecodeerd met behulp van Advanced Encryption Standard (AES). Icomoon is een applicatie die vectoriconenpakketten biedt voor gebruik door ontwerpers en ontwikkelaars. Een Icomoon-compatibel pictogrammenpakket heet Gemini. Auteurs van malware gebruiken deze techniek van het hernoemen van uitvoerbare bestanden naar andere bestandstypen (pdf, jpg, txt) om kwaadaardige middelen in het zicht te verbergen.

In beide gevallen is de extensie .rec of .renc bestandstype opzettelijk misleidend; het bestand is eigenlijk een .dex (Dalvik Executable) bestandstype dat uitvoerbare code bevat in plaats van een onschuldig .renc-bestand.


De pakketnaam is ook veranderd in recentere BeiTa versies, van com.cootek.beita.beita.plugin naar com.mobutils.android.beita.plugin.



De AES-encryptiesleutel wordt verdoezeld door een reeks van verbonden methoden, en uiteindelijk opgeroepen voor gebruik door een pakket met de naam "Hades SDK" via de methode, com.android.utils.hades.sdk::getEncryptedKey().

In latere versies van de toepassing worden verhoogde encryptie- en verduisteringstechnieken toegepast om het bestaan van de plugin te verbergen. Alle strings met betrekking tot plugin activiteit zijn XOR gecodeerd en Base64-gecodeerd door een derde partij genaamd StringFog. Elke klasse die het laden van de plugin vergemakkelijkt, is gecodeerd met zijn eigen aparte sleutel. Het com.android.utils.utils.hades.sdk pakket, bijvoorbeeld, is gedecodeerd met de string "Yaxiang Robin High".





Wanneer de applicatie wordt gelanceerd, wordt de Hades SDK geïnitialiseerd door een subklasse die in het manifest wordt gedefinieerd:

<applicatie android:allowBackup="true" android:icon="@mipmap/ic_launcher" android:label="@string/app_name" android:roundIcon="@mipmap/ic_launcher" android:roundIcon="@mipmap/ic_launcher" android:supportsRtl="true" android:theme="@style/AppTheme">"@stijl/AppTheme">".

Zodra de Hades SDK is geïnitialiseerd, is het verantwoordelijk voor het ophalen van het onderdeel pad waar de plugin zich bevindt, het configureren van de plugin om te worden geladen door een volgende Plugin framework en voor een groot deel van de interactie tussen de plugin en extra ad libraries na het laden.



Het controleert of de plugin is gedecodeerd, geladen, specificeert de uitvoerbron voor de gegenereerde .jar-bestanden, stelt alarmen in om ad-gerelateerde intenties te triggeren, en specificeert spaties voor de advertenties die moeten verschijnen (zie: publieke int lockScreen() methodeverklaring).



Eenmaal gedecodeerd, wordt het BeiTa dex bestand opgeslagen op het apparaat op /data/gebruiker/0/<package_name>/app_p_od. Het wordt vervolgens verpakt in een JAR-bestand door een populair Android Plugin framework (Qihoo360's Replugin library), wordt opgeslagen in /data/gebruiker/0/<package_naam>/app_p_a en uiteindelijk geladen op het apparaat met behulp van de Qihoo360.Replugin DexClassLoader.




De geladen plugin wordt nooit op het apparaat geïnstalleerd. Daarom staat hij niet vermeld als geïnstalleerd pakket en is het ook niet mogelijk om de plugin eenvoudigweg te verwijderen zonder de draagtoepassing te verwijderen.

Echter, omdat de advertentie activiteiten worden geactiveerd binnen de BeiTa plugin pakket, is het mogelijk om te zien dat het de BeiTa plugin triggering de advertenties.




Deze BeiTaAd plugin familie geeft inzicht in de toekomstige ontwikkeling van mobiele adware. Aangezien officiële app stores de beperkingen op out-of-app advertenties blijven verhogen, zullen we waarschijnlijk andere ontwikkelaars soortgelijke technieken zien gebruiken om detectie te vermijden.

Vanaf 23 mei 2019 zijn de 230+ betrokken applicaties op Google Play verwijderd of bijgewerkt naar versies zonder de BeiTa Plugin. Klanten van Lookout zijn beschermd tegen deze dreiging, en gebruikers met een van de volgende getroffen pakketten wordt geadviseerd om hun toepassing bij te werken naar de meest recente versie.

Bijlage: Android-toepassingen waarin de BeiTaPlug geinstalleerd is:
Bron:
 

DonWoozy

Junior lid
Lid geworden
21 mei 2019
Berichten
64
Reaction score
26
Punten
18
Leeftijd
35
ze verzinnen iedere keer weer iets nieuws hè, sjonge jonge.
 
Bovenaan Onderaan