Jump to content
Ex0dus

Adware - novelcamp/appsquare - запускает браузер с рекламой

Recommended Posts

Сразу скажу - проблема массовая. Я как опытный пользователь не смог ее решить.

Система: Android 8.0, Galaxy S8+, на англ.

Симптомы: открывается сайт novelcamp.net или appsquare.net в браузере по умолчанию (у меня Firefox) и перекидывает на страницу с рекламой. Открывается не всегда, а когда обновляешь приложение в Google Play какое-нибудь. Иногда выскакивает, когда отправляешь картинку через Whatsapp. Системности не замечено. Может 2 дня не открывать ничего, а потом на 3-ий открыться. Пример ссылки на которую перекидывает: (https://www.appsquare.net/?p=4A6B1E8774E25418B002835535545B52&geo=BY&sv=506&gaid=&pbl=9E55C7D7B3524808BCD13C1FFF9B1FB0&sn=etap_5.0.6&flow=0&utm_source=201&url=www.appsquare.net&rdv=1000&cbType=3&isf=1& )

Смартфон проверен самыми свежими антивирусами: Kaspersky Mobile, DrWeb, MalwareBytes - НИЧЕГО НЕ НАЙДЕНО. Переустановка браузера не помогла. Очистка кэша встроенными средствами помогла на пару дней.

но эта штука до сих пор в смартфоне.

Этому вирусу посвящена ОГРОМНАЯ тема (более 200 сообщений) на reddit.com:

https://www.reddit.com/r/GalaxyS9/comments/ai98c0/novelcampnet_automatically_pops_up_in_android/

Поиск решения ведет malwarebytes - но безуспешно.

https://forums.malwarebytes.com/topic/242572-mnovelcampnet-pop-up-s/?page=4

Очевидно, что заражение произошло либо с сайта в интернете через браузер, либо этот скрипт встроен в одно из приложений в Google Play. Какое - не понятно.

Некоторые пишут что помогает сброс рекламного id от Google на телефоне, либо чистка кэша телефона встроенными средствами смартфона. Мне это помогло на 3 дня.

В основном жалобы поступают от владельцев Samsung S8, S9, S7, но есть и Xiaomi!

Проблема серьезная. Ее до сих пор не решила ни одна антивирусная компания. Вся надежда на Kaspersky lab.

Очень опытные Android пользователи столкнулись с этим вирусом.... и ничего не могут сделать. не могут найти причину.

 

Прикладываю список приложений установленных на смартфоне.

 

list.txt

Edited by Ex0dus

Share this post


Link to post

Так, раз это браузер по умолчанию, а не какой-то конкретный, то это неявный интент. А значит нужно отключить дефолт на браузере.

Я накидал на коленке прототип приложения, которое объявит себя браузером и будет ловить все ссылки http(s). Вам нужно сделать так:

1. Установить приложение и запустить его один раз: https://box.kaspersky.com/f/d6d321abadd34f24badb/

2. Открывать через него ПОДОЗРИТЕЛЬНЫЕ запросы системы на открытие урла. То есть если поднялся запрос сам по себе, а не по вашему действию, то открыть через это приложение

Демка: https://box.kaspersky.com/f/ca86500e9654426385f0/

Это прототип, он неудобный. Он реагирует на вообще все http(s) и будет бесить. Но если проблема воспроизводится достаточно быстро, то хорошо. Задача прототипа всё же лишь в том, чтобы убедиться, что таким образом можно поймать пакет того, кто это делает. Если вдруг такой способ сработает, то я сделаю полноценную утилиту для всех.

Share this post


Link to post

Да, ещё важно. До тех пор, пока вредонос себя не проявит, НЕЛЬЗЯ назначать ни один браузер по умолчанию. Нужно будет реально каждый раз тыкать "Только сейчас". Это бесит. Но пока так. Я исправлю это, если прототип окажется полезным.

Share this post


Link to post
4 часа назад, Umnik сказал:

Да, ещё важно. До тех пор, пока вредонос себя не проявит, НЕЛЬЗЯ назначать ни один браузер по умолчанию. Нужно будет реально каждый раз тыкать "Только сейчас". Это бесит. Но пока так. Я исправлю это, если прототип окажется полезным.

Спасибо за приложение и профессионализм Kaspersky lab. Установил для поиска на смартфон. Буду отслеживать.

По словам malwarebytes - этот вирус точно есть в приложениях с en.uptodown.com  — devian.[SPAM!!!].v3 ([SPAM!!!]), com.snaptube.premium (Snaptube), com.rahul.videoderbeta (Videoder Video Downloader). Им удалось воспроизвести его поведение.

Проблема в том что многие - никогда не ставили этих приложений... И после их удаления вирус остается в системе. Этот троян возможно интегрирован в одно из приложений с гугл плей. Либо обычное приложение обращается на сервер...который был взломан.

еще жалобы на этот вирус:

http://4pda.ru/forum/index.php?showtopic=438451&st=9360#entry81067434

http://4pda.ru/forum/index.php?showtopic=203803&st=16600#entry82006841

http://4pda.ru/forum/index.php?showtopic=806247&st=47020#entry82699137

http://4pda.ru/forum/index.php?showtopic=253883&st=24960#entry82773337

Share this post


Link to post

Возможные виновники (только мои размышления):

Memrise, Mxvideoplayer, Quickpic, Firefox (с ublock)....

+ я установил фаерволл (NoRoot) и смотрел за день все обращения в сети.

вот скриншоты подозрительных запросов в сеть и подозрительных приложений установленных на смартфоне.

https://yadi.sk/d/_c6mZTIBTSkuig

подозрительные установленные приложения в системе (скопированы из смартфона):

https://yadi.sk/d/hpEaC4ZewNEskg

6 часов назад, Umnik сказал:

Да, ещё важно. 

1 нюанс с приложением. например я открываю ссылку из Телеграма.... (дефолтный браузере не назначен) и она СРАЗУ открывается в Firefox. Не понятно почему не выскакивает выбор браузера. в других случаях - выбор браузера появляется.

 

Размышления по поводу вируса - запуск ссылок производится по графику в определенные дни/даты. у всех зараженных смартфонов.

По информации с форума malwarebytes - вирус создает в папке download временные файлы - пытается скачать еще 1 троян.

список сайтов на который редиректит вирус (с форума malware):

 

20190226_083849.thumb.jpg.8c23d5df3fd2850089160b48b768432c.jpg

Edited by Ex0dus

Share this post


Link to post
15 hours ago, Ex0dus said:

По словам malwarebytes - этот вирус точно есть в приложениях с en.uptodown.com  — devian.[SPAM!!!].v3 ([SPAM!!!]), com.snaptube.premium (Snaptube), com.rahul.videoderbeta (Videoder Video Downloader). Им удалось воспроизвести его поведение.

Проблема в том, что нельзя что-то говорить исключительно по имени пакета. Я сейчас за 3 секунды сделаю настоящий антирус от Лаборатории, совершенно честный и полноценный (потому что я тестирую движок и тесты как раз и делаются через оборачивания движка своим кодом), и который будет называться именно так.

Плюс вредоносное поведение могло быть в честных приложениях, но которые кто-то пропатчил. Потому нужно найти настоящее приложение, вытянуть его с устройства и именно его препарировать. Найти тот код, который это творит и сделать детект именно этого кода.

14 hours ago, Ex0dus said:

вот скриншоты подозрительных запросов в сеть и подозрительных приложений установленных на смартфоне

Ну, обращение к амазону — это вообще в порядке вещей для современного ПО. Мы сами к Амазону обращаемся. Это крупнейший в мире держатель серверов.

По приложениям.

1. Если это оригинальный Firefox из Маркета, то проблем не будет никаких. У меня самого Fx из Маркета.
2. У меня самого Mx Player Pro (из Маркета) и он точно чистый.
3. По-быстрому в Мемрайз и в Квик Пик не нашёл ничего подозрительного. Но я не вирусный аналитик, надо понимать. Откуда подозрения на эти приложения? По отзывам в Маркете за ними никто не замечал ничего плохого, кроме как проблем с подпиской. Да и Квик Пик сто лет не обновлялся, а я им сам пользовался и он ничего не делал такого.
Откуда подозрения на приложения то?

14 hours ago, Ex0dus said:

1 нюанс с приложением. например я открываю ссылку из Телеграма.... (дефолтный браузере не назначен) и она СРАЗУ открывается в Firefox. Не понятно почему не выскакивает выбор браузера. в других случаях - выбор браузера появляется

Не проверял на ТГ. Ну, пока это не важно. Нужно сначала проверить, сможет ли приложение увидеть имя пакета инициатора тех ссылок, что в первом посте. Или же покажет на себя самого (com.kaspersky.intentcatcher).

Share this post


Link to post

Самое забавное, что с момента установки intent catcher-a рекламщик себя проявлять как-либо перестал. Последний раз он открыл браузер во время обновления приложений вчера часов в 11 утра. После чего телефон почти не использовался. Около 13 был установлен catcher - с тех пор ни одной рекламы. Хоть приложения в маркете обновлялись с момента установки раза 3. Плюс, я несколько раз самостоятельно устанавливал кучку устаревших версий программ и намеренно обновлял их в маркете.  Потом сносил и ставил заново- заново обновлял. В течение дня пару раз пользовался давно установленным у меня Videoder, который считают потенциальным кандидатом в переносчики adware. Тишина.)
Если в ближайшее время вирус не проявится- снесу intent catcher и понаблюдаю. Возможно, браузер там вызывается как-то хитро- только дефолтный, если он выбран.)

Edited by Lovehepburn

Share this post


Link to post

Возможно.

И ещё. Вирусные аналитики просят дополнительно собрать инфу по приложениям, установленным у тебя. Это имеет смысл, если рекламщик снова себя проявит. То есть как только сработает рекламщик, то нужно будет вытянуть все установленные приложения.

Сделать это можно вот так: https://support.kaspersky.ru/common/diagnostics/14691 Далее выложить архив, дать мне ссылку на скачивание, а я передам парням. Если ещё Интент Катчер поймает имя пакета, то это вообще идеально было бы.

Share this post


Link to post

Проблема проявляться перестала покамест. Снес кэтчер- 2 раза уже обновил приложения- тишина. Ничего для этого не делал. Ждем-с, наблюдаем.

Edited by Lovehepburn

Share this post


Link to post

еще 1 пострадавший:

http://4pda.ru/forum/index.php?showtopic=943330&st=0#entry82876126

Было бы неплохо, чтобы специалисты Лаборатории установили на тестовый смартфон эти приложения с вирусом - com.snaptube.premium (Snaptube), com.rahul.videoderbeta (Videoder Video Downloader) c сайта uptodown.

В них с 99% вероятностью есть скрипт, который открывает эти ссылки. Поняв алгоритм его работы и места где он прописывается - мы сможем найти средство для лечения смартфонов, где этих приложений не установлено.

 

Edited by Ex0dus

Share this post


Link to post

Специалисты из malwarebytes предполагают, что приложения не знают, что в них интегрирован этот вирус. Возможно в них используется BatMobi Ad SDK. Который и провоцирует открытие ссылок.

самая сложная задача - найти приложения в которых используется BatMobi Ad SDK.

ссылка в тему:

https://techcrunch.com/2018/12/07/google-warns-app-developers-of-three-malicious-sdks-being-used-for-ad-fraud/

Share this post


Link to post

Пока что вирус себя не проявляет. Или я его случайно удалил...

Share this post


Link to post

Я не удалял, более того- продолжаю пользоваться Videoder. Тишина уже 4й день. 

Подозреваю, что вирус был просто каким-то глюком то ли Гугла, то ли ещё чьим...

Share this post


Link to post

После нескольких дней наблюдений могу сделать следующий вывод. Когда установлен intent catcher как в качестве браузера по-умолчанию, так и как сказано в инструкции вирус себя не проявляет абсолютно никак. Несколько дней была тишина. Но стоит только назначить основным браузером любой другой, появляется срабатывание и открываются сайты.

Домены на которые переадресовывает вирус становятся разнообразнее. Но сам вирус работает через переадресацию. У меня при срабатывании открывается ссылка click302.h5mone.com/scene/?utm_source=201&pbl=9E55C7D7B3524808BCD13C1FFF9B1FB0&p=4A6B1E8774E25418B002835535545B52&geo=RU , которая уже открывает различные сайты с рекламой.

Приложения, которые могут хоть как то быть скомпроментированы я удалил. Кеш почищен. Браузеры сброшены. Подозрительные файлы не замечены.

Share this post


Link to post
Posted (edited)

Вирус снова начал проявлять себя. Вчера поставил по умолчанию браузер Firefox (чтобы проверить влияет ли это) - сегодня получил ссылку сразу после обновления Viber в Play Market.

скриншот ссылки (на этот раз редирект на домен h5mone.com) прикладываю. ее перехватил антивирус от virustotal (молодец).

сразу после этого я сделал бэкап приложений на смартфоне согласно инструкции от Лаборатории Касперского. (кстати adb драйвера ставятся не сразу и прописываются в path.) бэкап занял почти 30 мин.

вот он (пароль infected) размер 5.5 гб! (6 частей, в данный момент идет закачка):

https://yadi.sk/d/0kWjHB6xLle_wg

 

Edited by Ex0dus

Share this post


Link to post
Posted (edited)

новости отлова вируса с форума reddit. некоторые смогли с помощью утилиты от Лаборатории Касперского выявить название приложения, которое генерирует ссылку. Это:

st.veezie и com.Project100Pi.themusicplayer.

Проблема в том, что я таких приложений никогда не ставил на смартфон. Очевидно, что вирус прячется в самых разных приложениях.

скриншот вредоносной ссылки с моего смартфона:

 

Screenshot_20190306-205451_VirusTotal Mobile.jpg

 

еще 1 жалоба на этот вирус. на итальянском форуме про Андроид:

http://www.androidiani.com/forum/samsung-galaxy-s7-edge-g935f/555790-problema-apertura-automatica-di-pagine-durante-aggiornamenti-su-play-store.html

Edited by Ex0dus

Share this post


Link to post

Еще 1 просьба к Лаборатории. Проверьте эти приложения на возможные вредоносные скрипты.

В них они есть с большой вероятностью. По ссылке размещены Videooder и Snaptube (c uptodown). В них скорее всего вирусы:

https://yadi.sk/d/PYk7N6_eL2hKhw

 

Share this post


Link to post

Я могу обновить приложение таким образом, чтобы:

1. Оно было дефолтным браузером

2. Оно пробрасывало все ссылки в ваш любимый браузер, если эти ссылки проходят по белым спискам

3. Оно не перехватывало нажатие на ссылки в самих браузерах

Когда будет свободное время — сделаю.

Share this post


Link to post

Коллега из антивирусных исследований собрал специальную сборку Firefox, которая логгирует историю действий https://box.kaspersky.com/f/71a8fb1d5f6346ed96da/?dl=1

Нужно вручную выдать этому приложению права на запись на карту памяти!
Приложение будет вести лог в /sdcard/moz_url_log.txt.
Можно сделать его браузером по умолчанию и попытаться отловить, кто пытается загрузить страницу.

Share this post


Link to post

ссылка на тему reddit есть в моем первом сообщении в этой теме.

спасибо за сборку firefox - будем тестировать и ловить!

Share this post


Link to post

причина на моем смартфоне найдена! спасибо Intent Catcher! он перехватил вызов! результат:

com.opera.mini.native

оказывается вирус находится в Opera Mini (ver 35.3.2)! удаляем! вот это да!

выложил ее здесь со своего смартфона для вирусных аналитиков:

https://yadi.sk/d/vttKGO83PANDiA

Share this post


Link to post

Здравствуйте! Наблюдаю такую же проблему где-то с февраля текущего года. Телефон - Xiaomi Redmi 4X (Android 7.1.2, MIUI 10.1.1.0). Я установил модифицированный Firefox из этой темы, и сделал его браузером по умолчанию. Сегодня обновив одно из приложений в Play Market-е, я получил всплывающее окно с рекламой в Firefox-е. Лог показал, что открытие было инициировано процессом com.miui.home. Есле не ошибаюсь, то это "Рабочий стол MIUI". Такое приложение стандартными средствами не удалить, так как оно системное. Как в таком случае быть?

Share this post


Link to post
3 часа назад, nez42 сказал:

Здравствуйте! Наблюдаю такую же проблему где-то с февраля текущего года. Телефон - Xiaomi Redmi 4X (Android 7.1.2, MIUI 10.1.1.0). Я установил модифицированный Firefox из этой темы, и сделал его браузером по умолчанию. Сегодня обновив одно из приложений в Play Market-е, я получил всплывающее окно с рекламой в Firefox-е. Лог показал, что открытие было инициировано процессом com.miui.home. Есле не ошибаюсь, то это "Рабочий стол MIUI". Такое приложение стандартными средствами не удалить, так как оно системное. Как в таком случае быть?

вы что-то напутали, или лог не записался, когда ссылка открылась. продолжайте наблюдение.

попробуйте установить любое приложение из гугл плея. обычно на это вирус реагирует.

Share this post


Link to post
53 минуты назад, Ex0dus сказал:

вы что-то напутали, или лог не записался, когда ссылка открылась. продолжайте наблюдение.

попробуйте установить любое приложение из гугл плея. обычно на это вирус реагирует.

У меня есть подозрение, что вирус срабатывает один раз за день. Сейчас установил новое приложение из плей-маркета, но вирус не сработал. Обычно он проявляет себя утром, т.е. когда я с утра захожу в плеймаркет, чтобы что-нибудь обновить. По поводу лога, думаю все записалось правильно, т.к. до этого там было 4 записи ( я экспериментировал с ним, открывал ссылки вручную из разных приложений), после срабатывания вируса там появилась 5-я запись - com.miui.home

Share this post


Link to post
1 час назад, nez42 сказал:

У меня есть подозрение, что вирус срабатывает один раз за день. Сейчас установил новое приложение из плей-маркета, но вирус не сработал. Обычно он проявляет себя утром, т.е. когда я с утра захожу в плеймаркет, чтобы что-нибудь обновить. По поводу лога, думаю все записалось правильно, т.к. до этого там было 4 записи ( я экспериментировал с ним, открывал ссылки вручную из разных приложений), после срабатывания вируса там появилась 5-я запись - com.miui.home

выложите это приложение на файлообменник. пусть специалисты Лаборатории его проанилизируют.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.