{"id":54603,"date":"2019-06-05T15:19:06","date_gmt":"2019-06-05T14:19:06","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=54603"},"modified":"2019-07-11T20:48:40","modified_gmt":"2019-07-11T19:48:40","slug":"nuovo-adware-beitaad-trovato-nascosto-allinterno-di-app-google-play","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/nuovo-adware-beitaad-trovato-nascosto-allinterno-di-app-google-play\/54603\/","title":{"rendered":"Nuovo adware &#8220;BeiTaAd&#8221; trovato nascosto all&#8217;interno di App Google Play"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-6a34f4fcaf4d6\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-6a34f4fcaf4d6\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/nuovo-adware-beitaad-trovato-nascosto-allinterno-di-app-google-play\/54603\/#La_societa_e_di_Shanghai\" >La societ\u00e0 \u00e8 di Shanghai<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/nuovo-adware-beitaad-trovato-nascosto-allinterno-di-app-google-play\/54603\/#Il_plugin_nascosto\" >Il plugin nascosto<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/nuovo-adware-beitaad-trovato-nascosto-allinterno-di-app-google-play\/54603\/#Le_versioni_crittografate\" >Le versioni crittografate<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\"wp-block-paragraph\"><em>Il plugin visualizza forzatamente gli annunci sulla schermata di blocco dell&#8217;utente, attiva gli annunci video e audio anche mentre il telefono \u00e8 in sospensione e visualizza gli annunci fuori dall&#8217;applicazione che interferiscono con l&#8217;interazione dell&#8217;utente con altre applicazioni sul proprio dispositivo.<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Lookout ha scoperto 238 applicazioni nel Google Play Store che includono\u00a0<em>BeiTaPlugin<\/em> adware che rende quasi inutilizzabile un dispositivo mobile.\u00a0Lookout ha segnalato la funzionalit\u00e0 dannosa a Google e\u00a0<em>BeiTaPlugin<\/em>\u00a0\u00e8 stato rimosso da tutte le app interessate nel Play Store.\u00a0<strong>Complessivamente, queste applicazioni ammontano a oltre 440 milioni di installazioni,<\/strong> rendendo questo adware unico nella sua diffusione e per il livello di offuscamento di codice utilizzato per nascondere l&#8217;esistenza del plugin.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mentre la stragrande maggioranza delle applicazioni mobili gratuite monetizza tramite SDK o plug-in di annunci, la persistenza degli annunci pubblicitari in queste particolari app rendono interessante il\u00a0<em>BeiTaPlugin<\/em>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"La_societa_e_di_Shanghai\"><\/span>La societ\u00e0 \u00e8 di Shanghai<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Tutte le app rilasciate con BeitaPlugin sono state pubblicate dalla societ\u00e0 Internet mobile <strong>CooTek<\/strong>, fondata nel 2008 a Shanghai.\u00a0CooTek \u00e8 quotata al NYSE nel 2018 ed \u00e8 meglio conosciuta per la sua popolare app per tastiera,\u00a0<em><strong>TouchPal<\/strong><\/em>.\u00a0Il pacchetto BeiTaPlugin \u00e8 sorprendentemente incluso in\u00a0<em>TouchPal<\/em>\u00a0oltre a numerosi add-on per la loro popolare tastiera e ad app di salute e fitness molto popolari. <\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"890\" height=\"936\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2019\/06\/BeiTaPlugin_Lookout_Adware_1.jpg\" alt=\"\" class=\"wp-image-54615\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/06\/BeiTaPlugin_Lookout_Adware_1.jpg 890w, https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/06\/BeiTaPlugin_Lookout_Adware_1-285x300.jpg 285w, https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/06\/BeiTaPlugin_Lookout_Adware_1-768x808.jpg 768w\" sizes=\"auto, (max-width: 890px) 100vw, 890px\" \/><figcaption> <em>La pagina Google Play della popolare app TouchPal di CooTek con oltre 100.000.000 di installazioni.<\/em> <\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Mentre gli annunci fuori-app non sono particolarmente innovativi, quelli serviti da questo plugin rendono i telefoni quasi inutilizzabili.\u00a0Gli utenti hanno segnalato di non essere in grado di rispondere alle chiamate o di interagire con altre app, a causa della natura persistente e pervasiva degli annunci visualizzati.\u00a0Questi annunci non bombardano immediatamente l&#8217;utente una volta installata l&#8217;applicazione incriminata, ma diventano visibili almeno 24 ore dopo l&#8217;avvio dell&#8217;applicazione.\u00a0Ad esempio, gli annunci invadenti non si presentavano fino a due settimane dopo l&#8217;applicazione.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_plugin_nascosto\"><\/span>Il plugin nascosto<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Il plug-in BeiTa \u00e8 stato modificato pi\u00f9 volte dalla sua versione iniziale all&#8217;inizio del 2018. Le versioni precedenti delle applicazioni che includono il plugin BeiTa lo fanno tramite un file dex non crittografato,\u00a0<em>beita.rec<\/em>, all&#8217;interno della\u00a0directory\u00a0assets \/ components\u00a0del pacchetto.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nelle iterazioni pi\u00f9 recenti, il plugin BeiTa viene rinominato in innocuo,\u00a0<em>icon-icomoon-gemini.renc<\/em>\u00a0ed \u00e8 crittografato utilizzando Advanced Encryption Standard (AES).\u00a0<em>Icomoon<\/em>\u00a0\u00e8 un&#8217;applicazione che fornisce pacchetti di icone vettoriali per l&#8217;utilizzo da parte di designer e sviluppatori.\u00a0Un\u00a0pacchetto di icone compatibile con\u00a0<em>Icomoon<\/em>\u00a0si chiama\u00a0<em>Gemini<\/em>.\u00a0Gli autori di malware utilizzano comunemente questa tecnica di rinominazione di file eseguibili in altri tipi di file (pdf, jpg, txt) per nascondere risorse dannose in bella vista.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Le_versioni_crittografate\"><\/span>Le versioni crittografate<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Nelle versioni successive dell&#8217;applicazione, vengono applicate tecniche di crittografia e offuscamento maggiori per nascondere l&#8217;esistenza del plugin.\u00a0Tutte le stringhe correlate all&#8217;attivit\u00e0 del plug-in sono codificate in XOR e codificate Base64 tramite una libreria di terze parti chiamata\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/github.com\/MegatronKing\/StringFog\" target=\"_blank\"><em>StringFog<\/em><\/a>.\u00a0Ogni classe che facilita il caricamento del plug-in \u00e8 crittografata con la propria chiave separata.\u00a0 Il\u00a0pacchetto\u00a0<em>com.android.utils.hades.sdk<\/em>\u00a0, ad esempio, viene decifrato utilizzando la stringa\u00a0<em>&#8220;Yaxiang Robin High&#8221;.<\/em><\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"890\" height=\"233\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2019\/06\/BeiTaPlugin_Lookout_Adware_8.jpg\" alt=\"\" class=\"wp-image-54630\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/06\/BeiTaPlugin_Lookout_Adware_8.jpg 890w, https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/06\/BeiTaPlugin_Lookout_Adware_8-300x79.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/06\/BeiTaPlugin_Lookout_Adware_8-768x201.jpg 768w\" sizes=\"auto, (max-width: 890px) 100vw, 890px\" \/><figcaption>La stringa di decifrazione della libreria<\/figcaption><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Il plug-in caricato non viene mai installato sul dispositivo.&nbsp;Pertanto, non \u00e8 elencato come pacchetto installato n\u00e9 \u00e8 possibile semplicemente disinstallare il plugin senza disinstallare l&#8217;applicazione carrier.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Tuttavia, poich\u00e9 le attivit\u00e0 dell&#8217;annuncio sono attivate all&#8217;interno del pacchetto di plugin BeiTa, \u00e8 possibile vedere che \u00e8 il plug-in BeiTa ad attivare gli annunci.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Questa&nbsp;famiglia di plugin&nbsp;<em>BeiTaAd<\/em>&nbsp;fornisce informazioni sullo sviluppo futuro di adware per dispositivi mobili.&nbsp;Poich\u00e9 i negozi di app ufficiali continuano ad aumentare le restrizioni sulle pubblicit\u00e0 fuori dall&#8217;app, \u00e8 probabile che altri sviluppatori impieghino tecniche simili per evitare il rilevamento.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A partire dal 23 maggio 2019, le oltre 230 applicazioni interessate su Google Play sono state rimosse o aggiornate a versioni senza il Plugin BeiTa.\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il plugin visualizza forzatamente gli annunci sulla schermata di blocco dell&#8217;utente, attiva gli annunci video e audio anche mentre il telefono \u00e8 in sospensione e visualizza gli annunci fuori dall&#8217;applicazione che interferiscono con l&#8217;interazione dell&#8217;utente con altre applicazioni sul proprio dispositivo. Lookout ha scoperto 238 applicazioni nel Google Play Store che includono\u00a0BeiTaPlugin adware che rende [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":54631,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"pmpro_default_level":"","_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[1413,387],"tags":[],"class_list":["post-54603","post","type-post","status-publish","format-standard","has-post-thumbnail","category-attualita","category-guide-sicurezza","pmpro-has-access"],"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/06\/beita-evid.jpg","wps_subtitle":"BeiTaAd \u00e8 un plug-in pubblicitario ben nascosto in una serie di applicazioni popolari in Google Play. Oltre 440 milioni di installazioni","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/54603","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=54603"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/54603\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/54631"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=54603"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=54603"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=54603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}