Setenta y cinco aplicaciones disponibles para su descarga desde la tienda oficial de Google Play tuvieron que quitar una biblioteca de publicidad maliciosa llamado AdDown.
Este adware apareció en enero de 2015 y además de mostrar anuncios a los usuarios infectados, también vino con la capacidad de recoger datos personales de sus víctimas, y en un momento podría instalar incluso en secreto aplicaciones sin el conocimiento del usuario.Con el tiempo, Trend Micro dice que detecta los programas publicitarios en más de 800 aplicaciones que se han cargado en la Play Store, por lo general como aplicaciones de servicios públicos pequeños, como los cambiadores de papel tapiz, editores de fotografía, y aplicaciones linterna.
Después de un análisis en profundidad de las aplicaciones infectadas con la familia AdDown durante los últimos dos años, los investigadores fueron capaces de identificar tres grandes etapas en su evolución, llamada: Joymobile, Nativedown, y Xavier.
La primera etapa de la evolución contó con la versión más simple de los programas publicitarios, pero fue también el que tiene las características más intrusivos, viniendo equipado con un método de instalación de aplicaciones detrás de la espalda del usuario.
La segunda etapa elimina este método de instalación, sólo uno que requiere la aprobación del usuario dejando, pero mejoró otras características, tales como el cifrado de comunicaciones, la ofuscación cadena interna, y el usuario de filtrado para un mejor servicio de anuncios.
La tercera y última etapa de AdDown se detectó primero comenzando a septiembre de 2016, y mientras que generalmente mejoró las características de la segunda etapa, se añadió también apoyo para detectar y evadir los entornos de caja de arena.
Esa versión también elimina la posibilidad de instalar aplicaciones de terceros, muy probablemente como el autor del adware se dio cuenta de que tendría una mejor oportunidad de permanecer sin detectar si mostraba anuncios aquí y allí, y no forzar aplicaciones por las gargantas de los usuarios.
AdDown se distribuye a través de un SDK de publicidad
Los expertos dicen que durante los dos últimos años, millones de usuarios parecen haber descargado e instalado aplicaciones infectadas con uno de estos tres versiones de programas publicitarios AdDown. Trend Micro investigador Ecular Xu dijo AdDown se distribuyó a varios desarrolladores de aplicaciones como un SDK de publicidad, lo que explica por qué se encuentra en tantas aplicaciones.Lista de aplicaciones infectadas previamente, pero que ahora han eliminado AdDown de su código. Nombre del paquete, numero de descargas y fecha de la infección
com.ijksoftware.pdfcreator.camscanner 10000-50000 2017/5/13, com.writeonpicture.textphoto 100000-500000 2017/5/13, com.inateam.cooler.master 500000-1000000 2017/5/13, com.equalizer.volumebooster 1000000-5000000 2017/5/13, com.styletext.font.textonphotos 100000-500000 2017/5/14, com.easytool.screenoff 100000-500000 2017/5/13, com.inateam.pdfreader 100000-500000 2017/5/13, com.placideagles.volumebooster 500000-1000000 2017/5/13, com.allinOne.openquickly 1000000-5000000 2017/5/13, com.inateam.ziprar 100000-500000 2017/5/13, com.coramobile.speedbooster.cleaner 1000000-5000000 2017/5/13, com.coramobile.security.antivirus 1000000-5000000 2017/5/12, com.cleaner.memorybooster.ramoptimizer 1000000-5000000 2017/5/13, com.coramobile.powerbattery.batterysaver 100000-500000 2017/5/12, com.pdfviewer.pdfreader.edit 500000-1000000 2017/5/13, com.cutterringtone.mp3cutter 100000-500000 2017/5/14, com.coramobile.phonecooler.cpucoolermaster 1000000-5000000 2017/5/12, com.autolockscreen.taptaplock 50000-100000 2017/5/13, com.easycapture.screenshot 50000-100000 2017/5/14, com.unziptool.rarextractor 50000-100000 2016/11/18, com.convertmp3.videoconverter 50000-100000 2017/5/13, com.lollicontact.caller 50000-100000 2017/5/13, com.fattys.automaticcallrecording 100000-500000 2017/5/13, com.ponosnocelleh.lolipoptheme 50000-100000 2017/5/13, com.ponosnocelleh.threedtheme 100000-500000 2017/5/13, com.mothrrmobile.volume 100000-500000 2017/5/13, com.greenapp.voicerecorder 10000-50000 2017/5/13, com.sunny.text2photo 100000-500000 2017/5/13, com.fingerprint.lockscreen.prank 100000-500000 2017/5/13, com.keeprr.cutpastephoto 100000-500000 2017/5/13, com.billowy.equalizer.bassbooster 100000-500000 2017/5/13, com.fattysgui.beautyfont 100000-500000 2017/5/13, com.aecenraw.emojionphoto 50000-100000 2017/5/13, com.appworksui.myfonts 100000-500000 2017/5/13, com.forecast.weatherlive.weather 10000-50000 2017/5/13, com.finder.photo.imagessearch 10000-50000 2017/5/13, com.galaxygame.fighterwar 100000-500000 2017/5/13, com.djayfree.mp3djmix 100000-500000 2017/5/13, com.qrscan.qrreader.qrcode 10000-50000 2017/5/13, com.yamagame.stormfighter 100000-500000 2017/5/13, com.minfiapps.screenshost_capture 100000-500000 2017/5/13, com.photogrid.frame.photocollage 10000-50000 2017/5/13, com.greenapp.slowmotion 100000-500000 2017/5/13, net.camspecial.clonecamera 500000-1000000 2017/5/13, com.rartool.superextract 100000-500000 2017/5/13, com.fattystudioringtone.mp3cutter 50000-100000 2017/5/13, com.aepictur.textphoto 100000-500000 2017/5/13, com.live3d.wallpaperlite 100000-500000 2017/5/13, com.xatedses.changehaircoloreye 100000-500000 2017/5/13, com.podhengy.haircolor 100000-500000 2017/5/13, com.mobilescreen.capture 100000-500000 2017/5/13, com.keeprr.textonphoto 100000-500000 2017/5/13, com.mobiletool.rootchecker 100000-500000 2017/5/13, com.galaxy.strikeforce 1000000-5000000 2017/5/13, com.podhengy.photoapp 50000-100000 2017/5/13, com.albumpro.videoslide.galleryphoto 50000-100000 2017/5/13, com.gpsonline.phonetracker 500000-1000000 2017/5/13, com.maxmitek.livewallpaperaquariumfishfish 50000-100000 2017/5/13, com.maxmitek.beachwallpaper 50000-100000 2017/5/13, com.xatedsesmobile.picturesketch 100000-500000 2017/5/13, com.efflicnetwork.ringtonecutter 50000-100000 2017/5/13, com.gigmobile.booster 100000-500000 2017/5/13, com.ponosnocelleh.launchers7 100000-500000 2017/5/13, com.magicvideo.editor.reversevideo 50000-100000 2017/5/12, com.azurersweet.djvirtual 500000-1000000 2017/5/12, com.sevideo.slideshow.videoeditor 1000000-5000000 2017/5/12, com.fourapps.musicplayer.videoplayer 100000-500000 2017/5/12, com.slowmotion.videoslow 500000-1000000 2017/5/12, com.fourvideo.videoshow.videoslide 1000000-5000000 2017/5/12, com.azurersweet.app2sdandremover 100000-500000 2017/5/12, com.azurer.vpnproxy.supervpn 500000-1000000 2017/5/12, com.azurersweet.launcher 50000-100000 2017/5/12, com.appgpfaq.prankcrackscreen 500000-1000000 2017/5/12, com.photoshow.videoeditor.slide 100000-500000 2017/5/12, com.azurersweet.beautymakeup 100000-500000 2017/5/12
