2月12日,一个赞助人必威平台APPMalwarebytes论坛提醒我们有一个问题,似乎无处不在的广告重定向。其他评论者的兴趣填充了论坛线程,所有这些都遇到了与同一所确切的网站相同的重定向。我们的网络保护团队将违规网站追溯到罪魁祸首 - 已知蝙蝠架的广告软件。

什么是batmobi?

Batmobi是广告软件开发套件(AD SDK),基本上是一个将应用程序连接到广告网络的软件库。开发人员将AD SDKS插入到应用程序的代码中,以通过广告获得收入。因此,他们可以免费提供他们的应用程序,仍然赚钱。大多数蝙蝠球的变种都是干净的,安全使用 - 直到最近。

根据Reddit网站1月21日发布的一篇关于网络突然重定向的文章,这些“干净”的BatMobi在1月中旬左右变成了移动广告软件。广告软件是一个子类潜在的不需要的程序(幼崽),这意味着它围绕着不良行为的条纹,并且经常导致用户体验不佳。此外,Batmobi一直有一个稍微侵略性的版本,我们考虑低级广告软件。我们发现这一点Android / Adware.batmobi.

由谷歌Play触发

这个新发现的Batmobi Variant的一个有趣的组成部分是它突破广告的位置 - Google Play。论坛顾客验证了广告,只要应用程序正在更新或在Google Play中安装。Batmobi正在使用Chrome自定义选项卡只要有这些事件触发,在其代码中要打开Goog​​le Play中的网站。虽然网站被重定向到相对安全的网站,但它们对用户来说是一种不受欢迎的滋扰 - 确切地说是我们考虑的广告。

追踪野兽

通常,针对客户设备上的广告软件应用程序的源简单,特别是在知道广告软件变体时,如在这种情况下。感谢所有伟大的Malwarebytes论坛参与者必威平台APP,我有一大一组数据以以我们称之为应用程序报告的形式。

这是应用程序列表以及有关其MD5,包名称和其他组件的数据,以帮助跟踪感染。即使使用所有数据,查找蝙蝠球就是一个噩梦:它在每个用户设备上的不同应用程序中隐藏在应用程序代码中,并且没有其他移动反恶意软件供应商检测到它。尽管如此,我能够做出一些入住并找到一些感染模式。这是我的发现。

uptodown.

搜索从uptodown的第三方App Store开始。更具体地说,下载来自YouTube的视频的应用程序,例如视频设备,视频下载程序,Snaptube和Tubemate最多为用户提供广告。这些应用程序都带有隐藏版本的Batmobi。删除这些应用解决了许多问题,但仍然坚持他人。

此幻灯片需要JavaScript。

MI手机

另一个让检测和移除BatMobi变得更加复杂的因素是,我们在应用程序中发现了它预先安装在MI移动设备上 - 特别是,Xiaomi Redmi注释5.受感染的应用程序如上所列:

包名称:com.mi.android.globalpersonalAssistant.
应用名称:app保险库

包名称:com.android.providers.downloads.ui
应用名称:下载

请注意,这些应用程序的所有版本都没有Batmobi,也不是所有Xiaomi Redmi Note 5 Devices-oonf Select yef。检测到位必威平台APP适用于Android的Malwarebytes.提醒用户存在的存在。

如果您在预先安装的应用程序上使用广告软件,您可以按照我们的删除说明禁用或卸载

警告:确保阅读将应用程序恢复到设备上(无需恢复出厂时)在罕见的情况下,您需要还原/恢复应用程序。

在步骤7期间使用此/这些命令通过adb命令行卸载adups删除:

adb shell pm uninstall -k -user 0 com.mi.android.globalpersonalAssistant
adb shell pm uninstall -k -user 0 com.android.providers.downloads.ui

还是未知数

即使在发现了Batmobi感染的两个主要来源后,仍有一些病例没有解决。你看,就像广告突然出现一样,它们在三月初突然停止了。如果没有活跃的案例,看看删除应用是否会补救,找到这些深层次隐藏的BatMobi变体几乎是不可能的。我相信谷歌Play上仍然有一些版本,但现在要找到它们就像是大海捞针。

广告SDK的可怕现实

从技术上讲,由于这些隐藏的Batmobi变体不再触发广告不当,因此它们不再考虑广告软件。我想这是一个好消息。我的假设是Batmobi在没有警告的情况下对他们的服务器进行了变化,从而在1月触发了广告。但我们不知道为什么3月有突然停止。发生了什么事?也许对蝙蝠球的一个压倒性的投诉导致了心脏的变化?

这一切都让我们对广告SDK的感觉不安。它突出了它们的电源,从干净和安全到广告软件。在合法的应用程序中有一个可怕的现实,可以如此快速地转动恶意的应用程序。我重申是,是的,这些网站重定向到了相对安全的网站,但出现了更糟糕的可能性。

开发人员要小心

开发人员想要的最后一件事就是在没有警告的情况下在反恶意软件扫描仪的广告软件列表上。在过去,我们已经看到广告公司明确地从合法地移动到服务广告软件,与数据收集和/或积极推动广告内容变得过于侵略性,如上所述。然而,在这些情况下,很容易明确切割感染原因。这次,它更不清楚哪些组件导致这个问题,这么多仍然留下了未知。

不幸的是,发现开发人员可以信任的广告SDK是一个持续的挑战。我们所能说的只是你的研究,明智地选择。如果AD SDK有任何被视为广告软件的变体,就像Batmobi一样,它是保持清晰的明智决定。

保持安全!