Samsung: уведомление «1» было разослано владельцам смартфонов Galaxy по ошибке и это никак не повлияет на качество работы Android-устройств

Со вчерашнего вечера владельцы различных смартфонов Samsung, работающих на операционной системе Android стали сообщать о получении таинственного уведомления. Причём это уведомление приходило владельцам девайсов по всему миру. Тут же начались кривотолки и выдвигаться разные теории, в том числе о хакерской атаке. Представители южнокорейской корпорации уже сделали официальное заявление по этому поводу.
Загадочное сообщение с единственным символом (вернее, с цифрой) «1» было отправлено сервисом Find My Mobile, предназначенного для поиска смартфона в случае утери или кражи. При нажатии на сообщение, уведомление переключало пользователя на домашний экран и бесследно исчезало.
Из-за случившегося некоторые особо чувствительные персоны не на шутку испугались. Они решили, что устройство кто-то пытается найти, а значит им могли продать украденный аппарат. Другие предположили хакерскую атаку, а кто-то и вовсе углядел в этом причастность иллюминатов.
В Samsung официально заявили, что уведомление «Find My Mobile 1» было отправлено на ограниченное количество устройств Galaxy по ошибке во время тестирования внутренних систем. Корпорация уверяет, что это никак не повлияло на работу смартфонов и извиняется за любые доставленные неудобства.
Смартфоны серии Samsung Z, которые работают на операционной системе TIZEN, эта проблема вообще не затронула.

Samsung: notification “1” was sent to owners of Galaxy smartphones by mistake and this will not affect the quality of Android devices

Today, a ton of Samsung customers and users were spooked by a mysterious notification. For some reason, their Find My Mobile app has pushed a message that simply says "1".
This has happened on various devices in many different countries and regions. Even the Galaxy S10+ in the office had the weird notification in its shade. Tapping on it does nothing and it disappears as quickly as it appeared.
A lot of users were spooked, thinking that it's a hacking attempt at their phone or that someone has hijacked their Samsung account. Don't panic — seeing as how widespread this is, it seems to be a server mistake at Samsung HQ. It just happened to send a notification to everybody — either it was a fluke or somebody pressed the wrong button.
Samsung representatives said the mistake was made during testing of internal equipment, so users of Galaxy devices do not need to worry.
The company apologizes for the inconvenience.
Samsung Z series smartphones that run on the TIZEN operating system have not been affected by this problem at all.

Скандалы вокруг шпионского ПО для Android-устройств продолжаются. Китайцев снова уличили в тотальной слежке за пользователями.

Недавно эксперты организации ESET заявили, что 99% всех мобильных вирусов ориентированы на Android-устройства. Очередным подтверждением этому является отчёт, согласно которому в Google Play находилось 24 приложения с миллионами загрузок. Все они признаны потенциально опасными для пользователей.
Список приложений разнообразный: среди них есть игры, браузеры, календари, лончеры, файловые менеджеры, прогнозы погоды, антивирусы, VPN-сервисы и прочие утилиты. Все они выпускались 6-ю разными разработчиками, но расследование показало, что последние связаны с одной китайской компанией Shenzhen HAWK.
Экспертов по безопасности насторожил тот факт, что все эти программы запрашивают слишком много разрешений, не связанных с их деятельностью. Так, 6 приложений из упомянутого списка нуждаются в доступе к телефону, что автоматически позволяет им совершать звонки и отправлять сообщения даже без ведома пользователя. 15 приложений требуют доступа к GPS, чтобы определять местоположение пользователей, и личным данным на устройстве. Однако на этом запрашиваемые разрешения не заканчиваются.
В совокупности несколько таких программ получают практически полный контроль над устройством и могут передавать данные на удалённые серверы. Как пример, они могут отслеживать места, которые посещают пользователи, чтобы предлагать им потом соответствующую рекламу. По словам специалистов, это самое безобидное, что может случиться.
Как всегда в Google с запозданием отреагировали на эту ситуацию, после чего большинство приложений всё же было удалено из Google Play за нарушение правил магазина. Однако они всё ещё могут распространяться через сторонние ресурсы и продолжать работать на устройствах.
В начале этого года проблемы с безопасностью софта настигли и крупнейшего игрока мобильной индустрии Samsung. Корпорация оказалась в центре скандала, когда выяснилось, что смартфоны Galaxy S10 и Note10 поступили в продажу с предустановленной утилитой от скандально известной китайской компании Qihoo 360, обвиняемой в слежке за пользователями по всему миру. Спустя месяц южнокорейский производитель всё же решил разорвать связи с опасным партнёром.
Первоначально в Samsung ограничились заявлением, согласно которому на китайские серверы передавались обезличенные статистические сведения. Однако теперь стало известно, что вендор решила удалить скандальное приложение со своих устройств.
Утилита Qihoo 360 была интегрирована в прошивку смартфонов на системном уровне и расположена в разделе «Уход за устройством». Она выполняла сканирование хранилища и позволяла очищать его от ненужных файлов типа кэша приложений и рекламы. Одновременно, как сообщается, программа собирала различные данные о пользователях и переправляла их на серверы в КНР.
Любопытно, что в описании обновления нет ни слова об удалении этой функции, хотя она более недоступна в настройках. Вместе с тем, в коде самого приложения «Уход за устройством» всё ещё остаются некоторые строки, связанные с функцией очистки хранилища. Предполагается, что Samsung планирует в будущем вернуть эту опцию, заручившись поддержкой другой фирмы или занявшись этим самостоятельно.
В этой связи в очередной раз возникает вопрос: как долго Samsung будет зависеть от сторонних производителей софта типа Google с его возмутительно "дырявой" операционной системой Android и дешёвых китайских приложений, дискредитирующих надёжность мобильных продуктов южнокорейской корпорации?
Не пора ли, наконец, представить девайсы на собственной платформе TIZEN и полностью взять на себя ответственность за неприкосновенность частной жизни клиентов?

The scandals surrounding spyware for Android devices continue. China is again accused of total surveillance of smartphone users.

Google’s Play Store is often laced with malware-laced apps and it takes a lot of work to fish them out. According to recent reports, a Chinese company, Shenzhen HAWK, is “secretly behind 24 popular apps seeking dangerous permissions.” As of now, these apps are no longer on the Google Play Store but before their expulsion, they already had 382 million.
One of the apps, Hi Security, request for “too much” and strange permission within its VPN apps. After a series of investigations, this app was found to have links with Shenzhen HAWK.
Shenzhen HAWK is a subsidiary of TCL Corporation, a huge and partially state-owned Chinese electronics corporation. This is not the first report of TCL’s involvement with malicious apps. Last year, reports of its malicious Weather Forecast​ app hit the web. In 2017, the Indian government spotted Virus Cleaner (another of the Hi Security apps) to be hiding “spyware or other malware​.”
As of the time of yesterday, two apps (Super Battery and Dig It) were still available for download. However, Google has not confirmed that all 24 apps no longer exist on Google Play Store. Nevertheless, if you have installed any of these apps, it is in your interest to uninstall them immediately.
While six of the 24 apps need access to the user’s camera, two want to penetrate the phone. This means that they can make phone calls or send messages. From the list, 15 apps need GPS access (users location) and can read data on external storage. In addition, 14 of these apps can return details of a user’s phone and network. In fact, one of these can record audio on its server or on the device while another has access to your contact.
With all these permissions, these apps collectively have access to your entire device. They can also communicate with an external server controlled by their developers. Ever wonder why you get certain advert messages of things you shop for frequently? Once the app has location and user details, it can know your preferences and sell this information to advertisers who will then be able to personalize unwanted ads for you. This is probably the lowest risk associated with these apps.
More importantly, once your device is compromised, other things can follow. They can install other apps on your device which collect your personal information and private stuff.
Please give due care and attention to the apps from unknown developers that you allow onto your devices. These risks are real. The permissions being requested are real, as are the past issues with malware and data theft. As VPNpro warns, “apps that seem innocent may actually be reading and changing your files, selling your data, or much worse—remember, you are the last line of defense against malicious software.”
Last month, it was discovered that Samsung was sourcing the storage cleaner feature on its devices from a shady Chinese company Qihoo 360 which is known for stealing user data. This created quite a stir in the Android community which eventually led the Korean company to issue a clarification stating it only sends generic data to Qihoo's servers and that the entire process of scanning and removing junk files from devices is managed by it.
It looks like to be on the safe side, Samsung has completely removed the storage cleaner feature from the Device Care app in its devices. The company has released an update for the Device Care app updating it for Android 10 which also does away with the storage cleaner feature, though the change-log does not mention anything.
An APK analysis by a Redditor also confirms that the library sourced from Qihoo 360 has been removed from the app, though some strings related to the cleaner feature do remain. Nonetheless, if you were uncomfortable with Samsung sourcing a feature from a shady Chinese company in your device, you can now rest easy. It is possible that the company will bring back the feature eventually after building it in-house or sourcing it to another company.
Once again, we are forced to ask the question: how long will Samsung depend on third-party software manufacturers such as Google with its terrible Android operating system and cheap Chinese applications that discredit the reliability of the mobile products of the South Korean corporation?
Finally, it is time to introduce the devices on TIZEN’s own operating platform and fully assume responsibility for the privacy of customers.

Очередные уязвимости в Android поставили под угрозу 40 миллионов смартфонов Samsung, а также десятки миллионов аппаратов других производителей

На этой неделе Samsung подтвердил наличие 21 уязвимости в системе безопасности, которые затрагивают флагманские смартфоны Galaxy S8, S9, S10, S10e, S10+, S10+ 5G, Note9, Note10 и Note 10+. Обнаружены критические уязвимости, 3 из которых представляют особую опасность и имеют отношение непосредственно к операционной системе Android от Google. В сообщении говорится, что в общей сложности уязвимости затрагивают более 40 миллионов устройств вышеуказанных моделей.
Распространение исправлений производитель начал 8 октября. Обладателям смартфонов Samsung упомянутых моделей рекомендуется обновить ПО как можно быстрее. Кроме того, октябрьский пакет обновлений безопасности от Samsung включает в себя исправление уязвимостей Android, затрагивающих смартфоны Galaxy 10 и некоторые более ранние модели этой серии.
На сегодняшний день Samsung реализовал 30 миллионов устройств Galaxy S9 и порядка 10 миллионов Note9, поэтому количество пользователей, которые могут столкнуться с проблемами безопасности, выглядит весьма впечатляюще. Несмотря на то, что после установки обновлений изредка возникают затруднения в работе устройств, затягивать с апдейтом нельзя, так как устройство остаётся уязвимым перед злоумышленниками. После того, как о какой-либо проблеме в системе безопасности смартфонов становится известно широким массам, обычно активизируются хакеры, стараясь как можно быстрее воспользоваться ситуацией, то есть ещё до того момента, как все пользователи успеют обновить ПО.
Помимо Samsung примерно те же проблемы возникли у смартфонов производства Google (Pixel), а также у Huawei, Xiaomi, Oppo, Moto и других китайских вендоров, которые используют Android. Уязвимости обнаружены и в смартфонах LG, работающих на Android Oreo.
Всё началось с того, что аналитики из команды Google Project Zero обнаружили в ядре Android опасный баг, перед которым уязвимы многие устройства под управлением указанной ОС. По информации исследователей, эта уязвимость нулевого дня уже находится под атаками. Проблема может помочь злоумышленнику получить root-доступ к целевому устройству.
Изначально эта уязвимость была исправлена в ядре ​​4.14 LTS Linux ещё в декабре 2017 года. Это исправление вошло в ядра Android 3.18, 4.14, 4.4 и 4.9, однако более новые версии по какой-то причине остались уязвимыми. В итоге баг по-прежнему может представлять угрозу для новых моделей Android-устройств под управлением Android 8.x и выше.
Хуже того, эксперты пишут, что эксплойт для уязвимости, которая теперь носит идентификатор CVE-2019-2215, достаточно универсален, чтобы подойти для многих моделей смартфонов. Достаточно лишь внести небольшие изменения в коде.
Сотрудники Google полагали, что обнаруженный ими эксплойт для CVE-2019-2215 – дело рук небезызвестной израильской компании NSO Group.
NSO Group была основана в 2010 году и с тех пор занимается разработкой различной легальной малвари, которую, наряду с экплойтами для различных 0-day, продаёт правительствам и спецслужбам по всему миру. Широкую известность компания получила в 2016-2017 годах, когда специалисты по информационной безопасности обнаружили мощные шпионские инструменты Pegasus и Chrysaor, разработанные NSO Group и предназначенные для iOS и Android.
Сотрудники известного сетевого издания ZDNet и других СМИ уже обратились за разъяснениями к израильской компании, где им ответили, что не имеют к эксплойту никакого отношения:

«NSO Group не продавала и никогда не будет продавать эксплойты или уязвимости. Данный эксплойт не имеет никакого отношения к NSO, а наша работа сосредоточена на создании продуктов, предназначенных для лицензированных разведслужб и правоохранительных органов, которые спасают жизни».

К счастью, есть и относительно хорошие новости. Свежий 0-day всё же не получил статус наиболее опасного, так как это не RCE-уязвимость, которую можно было бы использовать без взаимодействия с пользователем. Для эксплуатации этой проблемы нужно соблюсти ряд условий. Например, злоумышленнику понадобится установить на целевое устройство вредоносное приложение для эксплуатации бага. Любые другие векторы атак, например, через браузер, потребуют создания цепочки эксплойтов с применением других, дополнительных уязвимостей.
Патч для проблемы нулевого дня уже доступен на Android Common Kernel. Смартфоны Pixel 1 и 2 должны получить исправления для этой уязвимости в рамках октябрьского обновления.
Тем не менее, всё это в очередной раз подтверждает наше мнение о том, что крупные производители электроники должны иметь собственные операционные системы и самостоятельно обслуживать их, а не полагаться на сторонние решения, что, в конечном итоге, может привести к весьма печальным последствиям.

Zero-day exploits found in Android VoIP

Researchers have found no less than nine zero-day vulnerabilities in how Android handles VoIP in its more recent versions.
The researchers stated that most security investigations focus on network infrastructure and apps, whereas they decided to look at Android’s VoIP integration. 
What they found were flaws that could allow a malicious user to:

* Deny voice calls
* Spoof the caller ID
* Make unauthorized call operations
* Remotely execute code

The main problem areas were the VoLTE and VoWiFi functions of Android.
The researchers submitted their findings to Google, who confirmed them with bug bounty awards.
The flaws were discovered through a novel combination of on-device Intent/API fuzzing, network-side packet fuzzing, and targeted code auditing.
They discovered that the problems were present from Android version 7.0 to the more recent 9.0, two-thirds of which could be exploited by a network-side adversary due to incompatible processing between VoIP and PSTN calls.
According to the researchers, the security consequences of the vulnerabilities are "serious", though Google is shortly expected to release a patch.
However, it's not the first time VoIP vulnerabilities have made the headlines in recent weeks. A report last month found that telecoms giant Avaya had failed to apply a patch to a known vulnerability in its own phone system, even though it was made available 10 years ago.

Android security woes

The news comes only days after Techradar reported on a zero-day exploit in the Android kernel, which could allow a malicious hacker to gain root access to Android phones.
This vulnerability was patched in Android, kernel versions 3.18, 4.14, 4.4 and 4.9, but not in more recent ones.
The problem for users is that Google's Threat Analysis Group (TAG) confirmed that this vulnerability had already been used in real-world attacks. However, it does require a malicious app to already be installed and running on the user's phone.

All this once again confirms our opinion that large manufacturers of mobile devices should have their own operating systems and service them independently, and not rely on third-party solutions, which, ultimately, can lead to very sad consequences.

Неприятные новости о проблемах владельцев Android-девайсов поступают почти ежедневно

В Samsung с некоторых пор гордятся "тесным сотрудничеством с Google" в плане развития операционной системы Android, хотя вряд ли таким союзом можно гордиться по-настоящему, учитывая многочисленные проблемы, то и дело вылезающие из-под полы этой престарелой дамы в мире IT.
Вместо того, чтобы усиленно заниматься разработкой собственной мобильной ОС, основные силы софтверного подразделения южнокорейского техногиганта направлены на поддержание штанов у Google.
В течение последней недели появилось, как минимум, 3 сообщения об очередных уязвимостях в Android и в Android-приложениях, хотя эти темы не получили должного резонанса в СМИ. Но, по крайней мере, читателей нашего блога мы постараемся держать в курсе происходящего.
Сегодня речь пойдёт об очередном провале разработчиков столь почитаемой в народных массах операционки, связанном с безопасностью.
Порой случается, что Android-смартфон начинает подозрительно быстро разряжаться, хотя не было никаких обновлений ПО или свежеустановленных приложений. Как выяснила компания Protected Media, причиной этому могут быть мошенники. Из-за них на устройствах ничего не подозревающих пользователей в фоновом режиме чрезмерно расходуются не только заряд аккумулятора, но и трафик.
Специалисты из Protected Media обнаружили в коде израильской компании Aniview, занимающейся разработкой рекламных технологий, следы Ad Stacking — опции, при которой несколько баннеров наслаиваются друг на друга. Это позволяет мошенникам покупать достаточно дешёвое пространство под размещение баннеров и под статичным изображением воспроизводить сразу несколько видеороликов. Это приводит к повышенной нагрузке на процессор мобильного устройства, увеличенному расходу заряда аккумулятора и дополнительному потреблению интернет-трафика.
От этого вида мошенничества страдают не только обычные пользователи и их гаджеты, но и компании, которые платят за показы и просмотры, а также приложения и платформы, которые покупают и продают место под объявления. Рекламодателям говорят, что люди просматривают их ролики, но отдачи с этого недостаточно, поэтому компаниям приходится платить ещё больше.
Крейг Сильверман, репортёр BuzzFeed News, связался с представителями Aniview, чтобы расспросить компанию о её причастности к этой мошеннической схеме. Генеральный директор Алон Кармель отрицает какую-либо связь со злоумышленниками и утверждает, что код для них написали сторонние компании, а эксплойт якобы произошёл по вине третьих лиц.
На опубликованном видео показано, как под одним статическим баннером может скрываться сразу несколько рекламных роликов, которые автоматически воспроизводятся в фоне. 
Таким образом, если какое-то из приложений потребляет слишком много трафика или быстро расходует заряд, то одной из вероятных причин может быть мошенническая схема показа рекламы.
Кое-кто может сказать, что Google здесь ни при чём, а виноваты во всём разработчики приложений, допустивших возможность запуска в фоновом режиме нелегального рекламного контента. Однако Google несёт полную ответственность за то, что пропускает в свой магазин Play Store, при этом его операционная система Android никак не защищена от подобного рода манипуляций.  
Это, можно сказать, одна из самых безобидных "забавных шалостей", отравляющих жизнь владельцам Android-девайсов. Но в ближайшие дни мы расскажем вам о куда более серьёзных проблемах. Так что следите за обновлениями.

This Giant Ad Fraud Scheme Drained Users' Batteries And Data By Running Hidden Video Ads In Android Apps

A scheme to stealthily run video ads behind banner images drained users' batteries and data while they used popular Android Apps.

Julien is an independent developer who built and maintains one of the most popular audio apps in the Google Play store. With millions of downloads and hundreds of thousands of positive reviews, he’s obsessive about responding to user complaints and concerns.
He often receives emails from users complaining that his app is draining their battery and using more data than expected. Usually, it’s because they set the app to download files when they’re not on Wi-Fi. But sometimes it’s due to ad fraudsters taking advantage of his app to run hidden, data-hungry video ads behind the legitimate banners he sells to earn his living.
Julien's app is one of several, including many using Twitter's MoPub ad platform, that saw its in-app ads hijacked in an ad fraud scheme uncovered by fraud detection firm Protected Media. The company’s findings, along with additional reporting and interviews by BuzzFeed News, and independent verification from an outside ad fraud lab, show that one of the players implicated in this scheme is Aniview, an Israeli company with offices in New York that runs a video ad technology platform.
Aniview denies any involvement and instead says the platform and banner ads and code, which were created by one of its subsidiaries, were exploited by a malicious, unnamed third party.
“BuzzFeed brought to our attention that there is an abuse activity, as an immediate action, we stopped this activity and started and continue an internal incident review,” said Aniview CEO Alon Carmel in an emailed statement. “We notified and emphasized our clients that the use of our platform must be according to our policy and the IAB and TAG guidelines.”
It’s just one of the many ways ad fraudsters siphon money out of the global digital advertising industry, which will see more than $20 billion stolen this year. This scheme in particular highlights once again how ad tech companies exploit insider access and technical knowledge to participate in ad fraud.
“I don’t even think about me being ripped off,” Julien told BuzzFeed News. “All I think about is them damaging the app’s reputation. It can cost money to [a user] and drain his battery. This is the thing that makes me really mad.” (BuzzFeed News agreed to withhold his full name and the name of his app due to concerns about people wrongly thinking it was knowingly part of the scheme.)
Here’s how the scheme works. Julien sells a banner ad, which appears in the app and is visible to his users. Then, hidden from view behind that banner, fraudsters conceal autoplaying video ads that no human being actually sees, but which register as having been served and viewed. In this scenario, Julien gets paid for the small banner ad in his app that users see, but the fraudsters earn many times that amount by stuffing far more lucrative video ads behind the banner. Ultimately, it’s the brands whose ads were shown in hidden video players that lose money to those running the scheme.
“Fraudsters are purchasing cheap in-app display inventory and are filling it with multiple video players behind innocuous fake branded display ads,” said Asaf Greiner, the CEO of Protected Media.
This type of ad fraud is known in the industry as in-banner video ads, and has been documented in the past. Greiner’s team identified a new version of it last fall and said in total they’ve seen tens of millions of dollars' worth of fraudulent video ads running per month as a result.
The ad fraud lab run by DoubleVerify, a digital measurement company, identified the same in-banner video ad fraud scheme at the end of last year, according to Roy Rosenfeld, the company’s VP of product management.
He told BuzzFeed News the fraudsters “did a very good job at hiding and obfuscating what they were doing” and were “quite sophisticated in the thinking behind how they can monetize that [video] inventory.”
DoubleVerify saw at least 60 million ad calls being made for fraudulent video ads per month, though Rosenfeld noted that not all of those ad slots were filled.
Aniview and its subsidiary, OutStream Media, were identified by Protected Media as being part of the scheme after the fraud detection firm gathered and analyzed video evidence, code, and other information during an investigation.
Rosenfeld said DoubleVerify’s investigation identified that “the Aniview player was heavily driving” the fraudulent video ad activity. He said his team identified the same code and other materials as Protected Media had.
Carmel, of Aniview, told BuzzFeed News that his company “does not knowingly engage in any fraudulent activity” and said his team has been trying to stop this activity on their platform since they were first contact by Protected Media last month. He acknowledged that OutStream Media, the company identified by Protected Media, is a subsidiary of Aniview. But he said it had ceased operations last summer and that Aniview is in the process of legally shutting it down. He said the ad fraud documented by Protected Media and DoubleVerify was done by bad actors using the Aniview video ad platform, as well as images and code created by OutStream Media, in an unauthorized way.
“To be crystal clear, another customer on Aniview’s [self-serve] platform used this [video ad] player and is responsible for this activity and we took actions immediately to stop this activity,” he said.
“We are fighting against bad activities, pushing and focus on clean and legit activities and should not be blamed or framed for bad use of our platform."
Carmel could not say who this bad actor was or how they managed to gain access to content that was uploaded to an OutStream Media account on Aniview’s platform. He declined to identify the malicious actors, or to share any details about them. He also acknowledged removing the photos and names of people, including his cofounder, Tal Melenboim, from Aniview’s website after being contacted by BuzzFeed News.
Two of the removed employees had leadership roles with OutStream Media in addition to their work at Aniview. Carmel, who previously cofounded the popular Jewish dating site Jdate, said they left the company to pursue other interests at the end of last year, and he neglected to remove them from the Aniview team page.
Carmel was provided with a copy of the malicious code used to place the banner ads and hidden video players. In addition to using the Aniview platform and banner ads from OutStream Media’s account on it, this code included the URL shoval.tv as a tracking pixel to gather data on ad performance. Shoval.tv is a domain name owned by Aniview cofounder Tal Melenboim. In an email to BuzzFeed News, Melenboim denied any involvement.
Carmel said the fraudsters must have copied the part of the code that included Shoval.tv from an earlier OutStream demo, and said Shoval.tv is commonly used as a tracking URL by Aniview. The inclusion of this code means that only a person with access to shoval.tv would be able to track the performance of the fraudulent ads carrying this pixel.
Protected Media also found that a significant portion of the banner ads purchased for this scheme were bought using MoPub, the mobile ad network owned by Twitter. This does not mean MoPub was engaged in the scheme. But it does mean Twitter’s ad platform was exploited for months by fraudsters, and it earned commission on the ads bought using its tools. (Julien uses MoPub to help place ads in his app and says the company is responsive when he reports bad ads.)
“At this time, we can confirm that the suspicious activity in question is not being initiated by MoPub,” a company spokesperson told BuzzFeed News. “The activity observed by Protected Media stems from an ad that is initiating other non-viewable video ads to run in the background. We are currently investigating what the potential sources of the issue could be.”
This scheme illustrates one of the central challenges in reducing the massive, multibillion-dollar fraud problem in digital advertising: Nearly every player in the supply chain, except for the brands who spend money on ads, profits from fraudulent ad delivery. Even if they’re not involved in ad fraud, platforms such as ad networks and other intermediaries earn a share of the money spent on invalid ads. This creates a disincentive to stop fraud from taking place, according to Greiner.
“It’s an unfair kind of situation because anybody who behaves well and doesn’t allow this on their platform is being left out of the profit,” he said, adding that “there’s very little penalty and there’s a lot to gain — the numbers are just enormous.”

Investigating the scheme

Protected Media first detected the use of hidden video ads in October. Though not a new ad fraud technique, the company saw this iteration grow large enough that it warranted a closer look. After seeing which video players were being used to run the hidden ads, and which ad networks the fraudsters were buying the display ad from, Protected Media reached out to the relevant parties, including Aniview, last month. (Rosenfeld of DoubleVerify said it also identified the scheme late last year and began blocking it.)
Protected Media provided BuzzFeed News with video documentation of invalid video ads running behind banners that were created by OutStream Media, Aniview’s subsidiary. These video ads were served using Aniview’s platform and the banner ads were hosted on Aniview’s website with an account in OutStream Media’s name. This demonstrates a direct link between OutStream Media and the banners that were placed in apps such as Julien’s.
Protected Media also identified that the shoval.tv domain name owned by Aniview cofounder Tal Melenboim was used to track the performance of the fraudulent ads, adding yet another link to Aniview.
Given that information, Greiner believes “Aniview is the group who left no room for deniability — the others can claim ignorance.”
After BuzzFeed News first contacted Aniview, the company removed the LinkedIn page for OutStream Media, and deleted people from the Aniview team page on its website. Two of the removed people were Melenboim, who had previously listed himself as the founder and CEO of OutStream Media on his LinkedIn, and his wife Mazal Melenboim, whose LinkedIn lists her as the head of media operations for Aniview and the head of operations for OutStream Media.
Carmel said the couple left Aniview at the end of last year and praised Tal Melenboim as a “reputable professional” who was “an asset to Aniview during his many years of employment.”
Tal Melenboim told BuzzFeed News in an email that he and his wife are not involved in any illegal activity. “It is important for me to point out to you, that if you got the impression that Aniview/Outstream Media or someone from our team, including me or my wife, is involved in an act of not legit activity, it is simply far away from the true.” (Melenboim said that Carmel’s English is better than his, and that as a result specific questions should be directed to him.)
Carmel said the Melenboims were removed from the company website at his direction after being contacted by BuzzFeed News, and said it was an oversight that they were still on the site. He offered to provide a letter from the company’s legal counsel to testify to the fact that the Melenboims had not worked at Aniview since the end of last year. He also said other employees were removed from the company’s team page at the same time.
After BuzzFeed News emailed Carmel two links that showed the scheme was still active on his platform, the activity was quickly shut off. He said that was a result of his company being given the information necessary to shut it down.
One of the links BuzzFeed News provided to Carmel went to a page at play.aniview.com/outstreammedia/ that hosted the banner ads used in the scheme. These banners were generic images for companies and products such as Coca-Cola, M&M's, McDonald’s, and Disney. If a user clicked on them they were taken to the homepage of the Google Play Store, showing that they were not real ads.
Carmel said these images belonged to OutStream Media and were created as test images when the company was operational last year. He said someone used these images without permission to execute the fraud.
“The banners were ONLY used for reach media demos of outstream units,” he said in an email. “After seeing in your email that someone used our banner without our permission we removed it from our server. Thank you for pointing it out.”
Ultimately what Carmel claims is that an unknown bad actor created an account on his platform, and then used banner ad images created by his subsidiary to execute the fraud scheme. He declined to share information about the bad actor’s account, citing legal concerns. He also couldn’t say exactly how this actor knew about banner ads uploaded to the account of OutStream Media — a company Carmel says was only briefly operational last year. He suggested one of the organizations OutStream had previously tried to pitch its services to was involved.
“The demo page of Outstream units was public and as well have been sent to many potential customers (BTW, one of them was Buzzfeed),” he said in an email. Carmel did not provide contact information for the person at BuzzFeed he says received the OutStream pitch. He did provide screenshots of email templates that were sent to prospective clients in May of last year that included a link to a demo.
Carmel says the same bad actor must have copied the OutStream tracking code that included shoval.tv, the domain owned by Melenboim. This means the fraudsters were sophisticated enough to set up and manage the scheme, but would have left in a tracking pixel that prevents them from receiving performance data on their ads.
Greiner of Protected Media said several ad tech companies engaged in or facilitated this form of fraud. Aniview was the one they gathered the most convincing evidence about. Others continue to run the scheme after being contacted by Protected Media, and in at least one case an executive from an involved company even complained about being called out.
“One of them spoke to my VP of sales and said everybody does it, why are we picking on them,” Greiner said. “It’s something we hear too often, unfortunately.” ●

Эксперт: обилие приложений для Android - это сомнительное преимущество, открывающее простор для киберпреступников

Организация AV-Comparatives, с 2017 года занимающаяся обнаружением проблемных антивирусов для Android OS, опубликовала результаты масштабного исследования по безопасности. Специалисты проанализировали 250 популярных приложений из Google Play, разработчики которых обещают пользователям гаджетов надёжную защиту. Результаты тестирования оказались плачевными.
Для проверки выбрали 250 антивирусов, 100 «чистых» APK-файлов и 2.000 заражённых. В общей сложности было проведено более 500.000 тестовых сканирований. В ходе эксперимента специалисты устанавливали антивирусы в смартфоны, на которых автоматически запускался браузер и загружались заражённые приложения. При этом использовались только широко известные вирусы, обнаруженные в 2018-м году — разработчики антивирусов должны были о них знать. На практике оказалось, что лишь 80 из протестированных приложений сумели зафиксировать более 30% заражённых APK-файлов и не имели ложных срабатываний:

AegisLab Antivirus Premium         
AhnLab V3 Mobile Security         
Alibaba Alibaba Master                 
Antivirus Apps Studio Antivirus         
Antiy AVL                         
Apex Apps Mobile Security         
APUS Group APUS Security         
Avast Mobile Security                 
AVG AntiVirus                         
AVIRA Antivirus                         
Bitdefender Mobile Security & Antivirus  
Brainiacs Apps Antivirus System         
BSafe Labs Antivirus                 
BullGuard Mobile Security and Antivirus  
CAP Lab Phone Cleaner                 
Check Point ZoneAlarm Mobile Security  
Chili Security Android Security         
Clean Boost+ Studio Phone Cleaner  
Comodo Mobile Security                 
Dr.Web Security Space                 
DU APPS STUDIO Speed Booster & Cleaner  
Emsisoft Mobile Security         
ESET Mobile Security & Antivirus  
ESTsoft Dr.Capsule Antivirus         
Fotoable Antivirus & cleaner         
F-Secure Internet Security & Mobile Antivirus
G DATA Internet Security         
Google Play Protect                 
Hawk App Super Cleaner                 
Hi Security Virus Cleaner         
Hyper Speed Antivirus                 
IKARUS Mobile Security                 
IntelliAV Anti-Virus                 
IObit AMC Security                 
Kaspersky Lab Mobile Antivirus         
K7Computing Mobile Security         
Lookout Security & Antivirus         
McAfee Mobile Security                 
MalwareFox Anti-Malware                 
MalwareBytes Anti-Malware
Max Dev Labs Antivirus
Media Master MD Antivirus
MicroWorld eScan Mobile Security
MY-DATA Mobile Security
MYMobile Security Warrior
NQ Mobile Security
NSHC Droid-X 4U
ONE App Virus Cleaner
Panda Free Antivirus and VPN
Phone Clean Apps Virus Cleaner
Power Tools Apps Antivirus
Privacy Lab Antivirus & Mobile Security
PSafe dfndr security
Qihoo 360 Mobile Security
Quick Heal Antivirus & Mobile Security
REVE Antivirus Mobile Security
Samsung Device Maintenance
Securion OnAV
Smooth Apps Studio Super Antivirus
Sophos Mobile Security
Super Cleaner Studio Super Antivirus
Supermobilesafe Super Security
STOPzilla Mobile Security
Super Security Studio Antivirus
Symantec Norton Security
TAPI Security Labs Antivirus & Virus Cleaner
Tencent WeSecure
GizmoSmart Antivirus
TG Soft VirIT Mobile Security
ThreatTrack VIPRE Mobile Security
Total Defense Mobile Security
Trend Micro Mobile Security & Antivirus
TrustGo Antivirus & Mobile Security
Trustlook Antivirus & Mobile Security
Trustwave Mobile Security
WatchdogDevelopment Mobile Security
We Make It Appen Antivirus
Webroot Mobile Security & Antivirus
Zemana Antivirus & Security
ZONER AntiVirus

Правильно обнаружить все угрозы удалось лишь 23-м антивирусам — в основном это продукты известных разработчиков в сфере кибербезопасности:

AhnLab
Antiy
Avast
AVG
AVIRA
Bitdefender
BullGuard
Chili Security
Emsisoft
ESET
ESTSoft
F-Secure
G Data
Kaspersky Lab
McAfee
PSafe
Sophos
STOPzilla
Symantec
Tencent
Total Defense
Trend Micro
Trustwave

Более 90% проблемного софта распознают следующие антивирусы:

eScan (99,8%)
Ikarus (99,8%)
Quick Heal (99,8%)
REVE (99,8%)
Securion (99,8)
VIPRE (99,8%)
Lookout (99,6%)
Supermobilesafe (99,6%)
BSafe (99,5%)
MyMobile (99,5%)
Malwarebytes (99,4%)
CheckPoint (99,1%)
K7 (99,1%)
Qihoo (99,0%)
Hi Security (98,6%)
NSHC (98,4%)
AegisLab (98,3%)
Samsung (97,7%)
Webroot (97,4%)
Zemana (97,3%)
Hawk App (97,1%)
TrustGo (96,0%)
DU Apps (94,7%)
Alibaba (92,9%)
Tapi (92,4%)
IntelliAV (91.8%)
Panda (91,6%)
Dr. Web (90,8%)

Остальные вряд ли заслуживают особого внимания пользователей, так как обнаруживают менее 90% вирусов:

Privacy Lab (89,9%)
Zoner (88,9%)
APUS (87,8%)
CAP Lab (87,8%)
Clean Boost+ (87,8%)
Fotoable (87,8%)
Hyper Speed (87,8%)
IOBit (87,8%)
ONE App (87,8%)
Phone Clean (87,8%)
Power Tools (87,8%)
Smooth Apps (87,8%)
Super Cleaner (87,8%)
Super Security (87,8%)
We Make It Appen (87,8%)
Max Dev (82,2%)
Comodo (77,6%)
TG Soft (76,7%)
Antivirus Apps (74,8%)
Apex (74,8%)
Trustlook (73,8%)
Media Master (73.1%)
Brainiacs (72,5%)
Google (68,8%)
Malwarefox (63,8%)
MyData (63,8%)
Watchdog (63,8%)
GizmoSmart (54.1%)
NQ (45,0%)

Антивирусы от 138 разработчиков обнаружили менее 30% вредоносных приложений и часто называли вирусами популярные программы из Google Play, то есть фактически являются непригодными для использования продуктами:

1Machine System Sdn Bhd, actionappsgamesstudio, Amantechnoapps, AMIGOS KEY, Amnpardaz Soft, AndroHelm Security, ANTI VIRUS Security, Antivirus Mobile Lab, antivirus security, appflozen, appsshow, Appzila, Arcane Security Solutions, AS team security phone Lab, asuizksidev, Ayogames, AZ Super Tools, azemoji studio, Baboon Antivirus, bESapp, Best Battery Apps, Best HD Wallpapers APPS, Best Tools Pro, BestOne, Bit Inception, BKAV, Bom Bom, Booster studio Laboratory Inc., brouno, Bulletproof AV, Caltonfuny Antivirus Phone, Cheetah Mobile, CHOMAR, Chromia, Cloud 7 Services, Core Antivirus Lab, CPCORP TEAM: Photo blur & photo blender, CreativeStudioApps, CY Security, Defenx, DefineSoft, DreamBig Studios, DU Master, electro dev, Erus IT Private Limited, Falcon Security Lab, Fast n Clean, fluer-apps.com, Formation App, Free Apps Drive, FrouZa, Galaxy TEAM, GameXpZeroo, GlobalsApps, gndnSoftware, GOMO Apps, GoNext App Developers, Gridinsoft, LLC, handy tools apps, Hello Security, Immune Smart, INCA Internet, infiniteWays007, Islamic Basic Education, Itus Mobile Security, JESKO, jixic, Kolony Cleaner, Koodous Mobile, lempea, LINE, LIONMOBI, Live multi Player Game, Main Source 365 Tech, Mama Studio, MAN Studio, Marsolis Tech, Max Antivirus Lab, Max Mobi Secure, MaxVV, Mob Utilities, Mobile Tools Plus, Mobtari, Mond Corey, M-Secure, MSolutions, MSYSOFT APPS, My Android Antivirus, NCN-NetConsulting, Nepelion Camp, Nisi Jsc, Niulaty, NP Mobile Security, NPC Studios, Omha, Oxic Studio, Pix2Pic Studio, playyourapp, Pro Tool Apps, prote apps, Protector & Security for Mobile, Puce, Radial Apps 2018, RedBeard, Secure Cloud, SecureBrain2, Security and Antivirus for Android solutions, Security Apps Team, Security Defend, SECURITY LAB, Security Systems Lab, SecurityApplock, Sept Max, ShieldApps, SjaellSoft, SkyMobileTeam, Smart Battery Solution & Creative Screen Lock, smarteazyapps, Software Center, Soft War, stmdefender, Systweak Software, TAIGA SYSTEM, Tokyo Tokyo, Tools dev, tools for android, Utilitarian Tools, Vainfotech, VHSTUDIO, Vikrant Waghmode, Virinchi Software, Virtues Media & Application, VSAR, Wingle Apps, Xtechnoz Apps, XZ Game, Z Team Pro.

61 приложение эксперты вообще сочли опасными:

1Machine System Sdn Bhd, actionappsgamesstudio, Antivirus Mobile Lab, appflozen, AppLocker Cleaner Booster, AppsNewLook, appsshow, AS team security phone Lab, AVC Security Joint Stock Company, Ayogames, azemoji studio, bESapp, Best Battery Apps, brouno, Caltonfuny Antivirus Phone, Chromia, Core Antivirus Lab, CPCORP TEAM, CreativeStudioApps, electro dev, Fast n Clean, FrouZa, GameXpZeroo, GlobalsApps, handy tools apps, jixic, lempea, MAN Studio, Marsolis Tech, MaxVV, Mobile Antivirus Lab, Mobtari, Mond Corey, Mondev44, MSolutions, MSYSOFT APPS, My Android Antivirus, Niulaty, NPC Studios, Ocean Developers, Omha, Oxic Studio, Pix2Pic Studio, playyourapp, prote apps, Protector & Security for Mobile, Radial Apps 2018, Security and Antivirus for Android solutions, Security Apps Team, SecurityApplock, Smart bapp, Smart Battery Solution & Creative Screen Lock, stmdefender, Tokyo Tokyo, Tools dev, tools for android, Utilitarian Tools, Virtues Media & Applications, Wingle Apps, XZ Game, zeeworkers.

«Мы считаем такие антивирусы рискованными, то есть неэффективными или ненадёжными. В некоторых случаях приложения просто глючат, например, потому что разработчики плохо реализовали сторонний движок. Другие обнаруживают только несколько очень старых образцов вредоносных программ для Android и пропускают любые заражённые приложения, содержащие определённые строки кода, позволяющие им пройти быструю проверку для принятия в магазины приложений», — отмечают сотрудники AV-Comparatives.
По словам экспертов, большинство антивирусов для Android разработаны либо любителями, либо компаниями, которые попросту не ориентированы на безопасность пользователей. В числе последних — авторы приложений для рекламы/монетизации или просто желающие иметь в портфолио программу для защиты Android. Работу любителей можно вычислить в Google Play по контактам с авторами. Как правило, они не предоставляют адрес вэб-сайта, а в качестве адреса электронной почты (обычно Gmail, Yahoo и т.д.) используют личные. Кроме того, большинство таких приложений не имеет политики конфиденциальности.
Некоторые антивирусы вместо проверки кода попросту сверяют приложения со своей базой, из-за чего многие безопасные приложения обозначаются как вредоносные, и наоборот. Самое интересное, что отдельные антивирусы считают угрозой самих себя. А кое-какие вместо реальной проверки приложений на наличие вредоносного кода проверяют лишь начало их названия, поэтому любая программа, начинающаяся, например, на «com.adobe.*», пройдёт испытание. 
«Когда дело доходит до выбора антивируса для Android, мы рекомендуем учитывать следующие факторы. Пользовательские оценки явно неэффективны, поскольку подавляющее большинство людей не имеет представления о том, предлагает ли приложение эффективную защиту. Некоторые отзывы могут быть подделаны разработчиками. Большинство из 250 приложений, на которые мы смотрели, в Google Play Store получили оценку 4 или выше. Количество загрузок также может быть только очень грубым ориентиром — успешное мошенническое приложение может быть загружено много раз, прежде чем оно станет мошенничеством», — пишут эксперты.
Подводя итог, специалисты рекомендуют использовать только антивирусы от известных, проверенных и авторитетных разработчиков, которые участвуют в тестах независимых институтов, имеют вэб-сайт с контактной информацией и политикой конфиденциальности.

Приглашённый эксперт информационного блога Samsung World Николай Изнов считает, что в мире Android царит бардак, особенно в сфере безопасности. Поэтому крупным игрокам мобильного рынка давно пора задуматься о создании экосистемы на базе собственных операционных платформ:

"Я уже неоднократно говорил, что присутствие такого крупного вендора как Samsung в "Android-стаде", наряду с дешёвыми "китайцами", не способствует дальнейшему укреплению позиций южнокорейского электронного гиганта. Когда девайсы уровня Galaxy S10 (не говоря уже о Galaxy Fold) используют столь проблемную платформу как Android, говорить об их элитарности просто несерьёзно. Если какая-нибудь Oppo предлагает за 300 долларов примерно те же опции и уровень безопасности, что и Galaxy S10, то становится не совсем понятна разница в цене, которую просят за южнокорейский продукт. И дело здесь не столько в качестве "железа", которое с каждым годом становится всё более унифицированным, сколько в использовании одной и той же операционной системы и набора проблемных приложений, о которых сказано выше.
Особо хочу отметить, что число приложений, которым так бравируют в Google, вовсе не является преимуществом. Наоборот, приложения, поступающие в огромных количествах не пойми откуда и не проходящие должной проверки на безопасность, сводят на нет все так называемые "плюсы" детища господ из Маунтин-Вью. Сами они неплохо устроились, молча кивая при возникновении проблем на "нерадивых поставщиков софта" или на производителей оборудования, которые "не хотят подчиняться политике Google", проектируя собственные программные оболочки.
Стремительное увеличение объёма оперативной памяти в смартфонах говорит лишь о том, что неоптимизированного проблемного софта на Android становится всё больше, в результате чего неуклонно растут цены на мобильные девайсы.
Конечно, это играет на руку тому же Samsung, который продаёт RAM-чипы многочисленным производителям "железа", однако это не должно становиться самоцелью, если корпорация не хочет потерять лидерство в мобильном бизнесе.
Большинство экспертов ещё 2-3 года назад полагало, что объём ОЗУ в Android-устройствах достигнет 12Гб где-то на исходе 2020 - в начале 2021 года. Однако реальность оказалась более ошеломляющей: смартфоны с 12Гб ОЗУ появились уже в начале 2019-го. И это совсем не повод для радости, а лишь показатель того, насколько несовершенен мир Android, требующий столь огромных ресурсов для поддержания нормальной работы.
Напомню, что в начале 2015 года первый массовый смартфон Samsung Z1 на TIZEN OS имел на борту 750Мб оперативной памяти, при этом не уступая в производительности Android-аналогам с 2-мя или даже 3Гб ОЗУ. Модель Samsung Z3 c 1Гб ОЗУ, выпущенная на индийский рынок, могла успешно соревноваться в производительности с куда более дорогими моделями на базе Android. Однако кампания, развязанная против TIZEN в различных СМИ и нежелание Samsung вступать в противостояние с Google, подорвали позиции этой перспективной операционной системы в сегменте мобильных коммуникаторов. К счастью, она успела закрепиться в "интернете вещей" (IoT) и в носимых устройствах серий Gear Fit, Gear S и Galaxy Watch, которые в последнее время набирают популярность, выгодно отличаясь от того, что предлагает Wear OS (она же бывшая Android Wear, переименованная Google, чтобы у людей не возникало ассоциаций с её провальным дебютом на рынке носимых устройств).
Тем не менее, Samsung не делал официальных заявлений о прекращении работы над мобильной версией TIZEN, что пока даёт возможность надеяться на появление в будущем новых TIZEN-смартфонов.
Проблема "отсутствия приложений" в TIZEN, по большей части, раздута адептами Google, для которых выход TIZEN на глобальный уровень видится настоящей катастрофой, поскольку в таком случае доминирование Android будет сильно подорвано.
Как известно, Samsung контролирует более 20% мирового рынка смартфонов, что означает серьёзное падение доходов Google в случае отказа южнокорейцев от Android.
Заполучить армию лояльных клиентов на новой ОС вполне возможно, если грамотно выстроить политику установки стороннего софта и разработки своего собственного. В том случае, если пользователи получат дополнительные гарантии, что этот софт более надёжен и стабилен, они будут охотно покупать устройства, работающие на альтернативной операционной платформе.
Опыт Apple периода 2000 - 2009 годов, когда Стив Джобс ещё не был смертельно болен и контролировал дела корпорации в полном объёме, весьма показателен. Понимая, что число сторонних разработчиков софта для Apple сильно ограничено по сравнению с конкурентами из Microsoft, "яблочники" выбрали давно известную тактику "лучше меньше, да лучше". С каждым компьютером они поставляли необходимый программный пакет на CD или DVD под названием iLife, который позволял покрыть все основные потребности юзеров. Здесь были простые, эффективные и надёжные программы для редактирования фото и видео, софт для создания музыки, работы с документами и т.д. Но за отдельную плату можно было также приобрести фирменные профессиональные решения для тех, кто в этом нуждался. Например, долгое время Final Cut Pro под Mac OS X считался лучшим инструментом для работников кино- и телеиндустрии, превосходя возможности многочисленных конкурентов из мира Microsoft/Windows, которые часто "лагали" из-за того, что "железо" от разных производителей конфликтовало между собой и с ОС от Microsoft.
В то время как пользователи Windows метались между многочисленными предложениями создателей видеоредакторов, толком не освоив ни одного из них, владельцы компьютеров Mac сосредоточились на освоении всего лишь нескольких доступных им программ (iMovie, Final Cut Express, Final Cut Pro и Adobe Premiere for Mac). А поскольку корпорация Apple в то время не допускала компромиссных решений, выбранная тактика "меньше, да лучше" наглядно продемонстрировала свою эффективность. В результате тогдашние владельцы компьютеров Mac практически позабыли что такое антивирусы, поскольку особой нужды в них не было, за редким исключением. 
Многим в это сложно поверить, но какой-нибудь Mac Mini образца 2009 года с 1Гб ОЗУ способен успешно выполнять большинство задач, необходимых среднестатистическому пользователю даже в марте 2019-го. И всё это благодаря хорошей оптимизации операционной платформы и качественному софту, который был доступен 10 лет назад. То же самое касается и смартфонов на iOS, не требующих баснословного объёма ОЗУ, в отличие от Android. При этом следует иметь ввиду, что большой объём ОЗУ и мощный процессор на плохо оптимизированной Android беспощадно "сжирают" ресурс аккумулятора, чего не наблюдается в случае работы на TIZEN.            
И если Samsung будет упорно продолжать использовать исключительно Android (или "урезанную" ОС Android Go, которая мало кому нужна), он рискует быстро потерять своё первенство на мобильном рынке, учитывая бешеный напор демпингующих китайцев.
Возвращаясь к проблеме безопасности, следует отметить, что компании, контролирующие софт и "железо", имеют неоспоримые преимущества над всеми остальными. В этом случае появляется реальная возможность создать действительно хорошо защищённый продукт, согласовывая разработку элементной базы и софта.
С операционными платформами сторонних поставщиков большой эффективности не удастся достичь никогда.
И если задаться вопросом "что для тебя важнее - количество приложений или безопасность?", то лично я предпочту второй вариант, поскольку потерять деньги на мобильном счёте или на банковской карте гораздо неприятнее, чем отсутствие в магазине приложений 10.000 вариантов калькулятора или какого-нибудь "православного календаря"".

The abundance of applications for Android is a dubious advantage that opens the door for cybercriminals

AV-Comparatives, since 2017 engaged in the detection of problematic antivirus for Android OS, has published the results of a large-scale research on security:

AV-Comparatives’ 2017 test of Android antivirus products was inspired by the discovery of an Android app called Virus Shield, which claimed to scan mobile devices for malware, but in fact did nothing of the sort. In reality, running the app simply showed a progress bar, supposed to represent scan progress, followed by an announcement at the end of the “scan” that the device was free of malicious apps. Worryingly, the app had been available on the Google Play Store, and thousands of users had paid money for it (although this was ultimately refunded to them by Google).
Last year’s test showed that in addition to several apps that are equally ineffective at protecting the device against malware, there are other apps that employ dubious detection mechanisms. These detect most other installed apps as potentially harmful, excluding only those with white-listed package names. With user interfaces seemingly generated from a few templates, the main purpose of these apps seems to be generating easy revenue for their developers – rather than actually protecting their users.
Including these dubious apps, we found the malware protection of almost 40% of the tested Android AV apps to be inappropriate.
To help owners of Android devices to distinguish between genuine, effective Android antivirus apps on the one hand, and dubious/ineffective ones on the other, AV-Comparatives have again tested the effectiveness of antimalware programs for Android, in the 2019 Android Test.

Tested Products

For this test, we searched for and downloaded 250 antimalware security apps by various different developers from the Google Play Store.
The following 80 apps detected over 30% of malicious apps, and had zero false alarms:

AegisLab Antivirus Premium         
AhnLab V3 Mobile Security         
Alibaba Alibaba Master                 
Antivirus Apps Studio Antivirus         
Antiy AVL                         
Apex Apps Mobile Security         
APUS Group APUS Security         
Avast Mobile Security                 
AVG AntiVirus                         
AVIRA Antivirus                         
Bitdefender Mobile Security & Antivirus  
Brainiacs Apps Antivirus System         
BSafe Labs Antivirus                 
BullGuard Mobile Security and Antivirus  
CAP Lab Phone Cleaner                 
Check Point ZoneAlarm Mobile Security  
Chili Security Android Security         
Clean Boost+ Studio Phone Cleaner  
Comodo Mobile Security                 
Dr.Web Security Space                 
DU APPS STUDIO Speed Booster & Cleaner  
Emsisoft Mobile Security         
ESET Mobile Security & Antivirus  
ESTsoft Dr.Capsule Antivirus         
Fotoable Antivirus & cleaner         
F-Secure Internet Security & Mobile Antivirus
G DATA Internet Security         
Google Play Protect                 
Hawk App Super Cleaner                 
Hi Security Virus Cleaner         
Hyper Speed Antivirus                 
IKARUS Mobile Security                 
IntelliAV Anti-Virus                 
IObit AMC Security                 
Kaspersky Lab Mobile Antivirus         
K7Computing Mobile Security         
Lookout Security & Antivirus         
McAfee Mobile Security                 
MalwareFox Anti-Malware                 
MalwareBytes Anti-Malware
Max Dev Labs Antivirus
Media Master MD Antivirus
MicroWorld eScan Mobile Security
MY-DATA Mobile Security
MYMobile Security Warrior
NQ Mobile Security
NSHC Droid-X 4U
ONE App Virus Cleaner
Panda Free Antivirus and VPN
Phone Clean Apps Virus Cleaner
Power Tools Apps Antivirus
Privacy Lab Antivirus & Mobile Security
PSafe dfndr security
Qihoo 360 Mobile Security
Quick Heal Antivirus & Mobile Security
REVE Antivirus Mobile Security
Samsung Device Maintenance
Securion OnAV
Smooth Apps Studio Super Antivirus
Sophos Mobile Security
Super Cleaner Studio Super Antivirus
Supermobilesafe Super Security
STOPzilla Mobile Security
Super Security Studio Antivirus
Symantec Norton Security
TAPI Security Labs Antivirus & Virus Cleaner
Tencent WeSecure
GizmoSmart Antivirus
TG Soft VirIT Mobile Security
ThreatTrack VIPRE Mobile Security
Total Defense Mobile Security
Trend Micro Mobile Security & Antivirus
TrustGo Antivirus & Mobile Security
Trustlook Antivirus & Mobile Security
Trustwave Mobile Security
WatchdogDevelopment Mobile Security
We Make It Appen Antivirus
Webroot Mobile Security & Antivirus
Zemana Antivirus & Security
ZONER AntiVirus

The antimalware apps from the following 138 vendors detected less than 30% of the Android malware samples, or had a relatively high false alarm rate on popular clean files from the Google Play Store: 1Machine System Sdn Bhd, actionappsgamesstudio, Amantechnoapps, AMIGOS KEY, Amnpardaz Soft, AndroHelm Security, ANTI VIRUS Security, Antivirus Mobile Lab, antivirus security, appflozen, appsshow, Appzila, Arcane Security Solutions, AS team security phone Lab, asuizksidev, Ayogames, AZ Super Tools, azemoji studio, Baboon Antivirus, bESapp, Best Battery Apps, Best HD Wallpapers APPS, Best Tools Pro, BestOne, Bit Inception, BKAV, Bom Bom, Booster studio Laboratory Inc., brouno, Bulletproof AV, Caltonfuny Antivirus Phone, Cheetah Mobile, CHOMAR, Chromia, Cloud 7 Services, Core Antivirus Lab, CPCORP TEAM: Photo blur & photo blender, CreativeStudioApps, CY Security, Defenx, DefineSoft, DreamBig Studios, DU Master, electro dev, Erus IT Private Limited, Falcon Security Lab, Fast n Clean, fluer-apps.com, Formation App, Free Apps Drive, FrouZa, Galaxy TEAM, GameXpZeroo, GlobalsApps, gndnSoftware, GOMO Apps, GoNext App Developers, Gridinsoft, LLC, handy tools apps, Hello Security, Immune Smart, INCA Internet, infiniteWays007, Islamic Basic Education, Itus Mobile Security, JESKO, jixic, Kolony Cleaner, Koodous Mobile, lempea, LINE, LIONMOBI, Live multi Player Game, Main Source 365 Tech, Mama Studio, MAN Studio, Marsolis Tech, Max Antivirus Lab, Max Mobi Secure, MaxVV, Mob Utilities, Mobile Tools Plus, Mobtari, Mond Corey, M-Secure, MSolutions, MSYSOFT APPS, My Android Antivirus, NCN-NetConsulting, Nepelion Camp, Nisi Jsc, Niulaty, NP Mobile Security, NPC Studios, Omha, Oxic Studio, Pix2Pic Studio, playyourapp, Pro Tool Apps, prote apps, Protector & Security for Mobile, Puce, Radial Apps 2018, RedBeard, Secure Cloud, SecureBrain2, Security and Antivirus for Android solutions, Security Apps Team, Security Defend, SECURITY LAB, Security Systems Lab, SecurityApplock, Sept Max, ShieldApps, SjaellSoft, SkyMobileTeam, Smart Battery Solution & Creative Screen Lock, smarteazyapps, Software Center, Soft War, stmdefender, Systweak Software, TAIGA SYSTEM, Tokyo Tokyo, Tools dev, tools for android, Utilitarian Tools, Vainfotech, VHSTUDIO, Vikrant Waghmode, Virinchi Software, Virtues Media & Application, VSAR, Wingle Apps, Xtechnoz Apps, XZ Game, Z Team Pro.

We consider those apps to be risky, that is to say, ineffective or unreliable. In some cases the apps are simply buggy, e.g. because they have poorly implemented a third-party engine. Others detect only a handful of very old Android malware samples, and allow any apps that contain certain strings, making them likely to pass some quick checks and thus be accepted by the app stores.
A number of the above apps have in the meantime already been detected either as Trojans, dubious/fake AVs, or at least as “potentially unwanted applications” (PUA) by several reputable mobile security apps. It is to be expected that Google will remove most of them from the Google Play Store in the coming months (and hopefully enhance their verification checks, thus blocking other such apps from the store). We would recommend the vendors concerned to remove their apps from the store until they can provide genuine and reliable protection.

The antimalware apps of the following 32 vendors have in the last two months been removed from the Play Store: antisecurity.inc, AppLocker Cleaner Booster, AppsNewLook, AVC Security, Bastiv, Big Fun Free Apps, Birina Industries, Cooler Technologies, Document Viewer 2019, Erus IT, GearMedia, Himlamo, koala security studio, LA Antivirus Lab, Mobile Antivirus Lab, Mobile Tools, NCK Corp, Ocean Developers, PICOO Design, Protection & Security for Mobile Lab, Rivalab, Secure Performance Dev, Smart bapp, Taobao, Top Maxi Group, TrustPort, Vasa Pvt, Vasonomics, Vitekco, wallpaperdus, Weather Radar Forecast, zeeworkers.

Most of the above apps, as well as the risky apps already mentioned, appear to have been developed either by amateur programmers or by software manufacturers that are not focused on the security business. Examples of the latter category are developers who make all kinds of apps, are in the advertisement/monetization business, or just want to have an Android protection app in their portfolio for publicity reasons. Apps made by amateurs can be often spotted in the Google Play Store by looking at the options for contacting the authors. Typically, hobby developers will not provide a website address, merely an email address (usually Gmail, Yahoo, etc.). Additionally, most such apps do not provide any sort of privacy policy. Google tries to purge from the Play Store all apps which lack a privacy policy, which helps to get rid of some low-quality apps. Of course, one should bear in mind that not all apps made by amateur developers are necessarily ineffective.

Testcases

For this test, the 2,000 most common Android malware threats of 2018 were used. With such samples, detection rates of between 90% and 100% should be easily achieved by genuine and effective antimalware apps.

Number of tested apps - 250
Number of tested malicious APKs - 2000
Number of tested clean APKs - 100

In total, over 500,000 test runs were performed for this report.

Test Results

AhnLab (100%)
Antiy (100%)
Avast (100%)
AVG (100%)
AVIRA (100%)
Bitdefender (100%)
BullGuard (100%)
Chili Security (100%)
Emsisoft (100%)
ESET (100%)
ESTSoft (100%)
F-Secure (100%)
G Data (100%)
Kaspersky Lab (100%)
McAfee (100%)
PSafe (100%)
Sophos (100%)
STOPzilla (100%)
Symantec (100%)
Tencent (100%)
Total Defense (100%)
Trend Micro (100%)
Trustwave (100%)
eScan (99,8%)
Ikarus (99,8%)
Quick Heal (99,8%)
REVE (99,8%)
Securion (99,8)
VIPRE (99,8%)
Lookout (99,6%)
Supermobilesafe (99,6%)
BSafe (99,5%)
MyMobile (99,5%)
Malwarebytes (99,4%)
CheckPoint (99,1%)
K7 (99,1%)
Qihoo (99,0%)
Hi Security (98,6%)
NSHC (98,4%)
AegisLab (98,3%)
Samsung (97,7%)
Webroot (97,4%)
Zemana (97,3%)
Hawk App (97,1%)
TrustGo (96,0%)
DU Apps (94,7%)
Alibaba (92,9%)
Tapi (92,4%)
IntelliAV (91.8%)
Panda (91,6%)
Dr. Web (90,8%)
Privacy Lab (89,9%)
Zoner (88,9%)
APUS (87,8%)
CAP Lab (87,8%)
Clean Boost+ (87,8%)
Fotoable (87,8%)
Hyper Speed (87,8%)
IOBit (87,8%)
ONE App (87,8%)
Phone Clean (87,8%)
Power Tools (87,8%)
Smooth Apps (87,8%)
Super Cleaner (87,8%)
Super Security (87,8%)
We Make It Appen (87,8%)
Max Dev (82,2%)
Comodo (77,6%)
TG Soft (76,7%)
Antivirus Apps (74,8%)
Apex (74,8%)
Trustlook (73,8%)
Media Master (73.1%)
Brainiacs (72,5%)
Google (68,8%)
Malwarefox (63,8%)
MyData (63,8%)
Watchdog (63,8%)
GizmoSmart (54.1%)
NQ (45,0%)

Risky Security Apps

As mentioned in the Tested Products section, some apps were not included in the results table, because we consider them risky. About half of those apps were excluded because of their low malware detection capabilities. The other half blocked many of the malicious samples used in the test, but should in our opinion still be considered risky; in the section below, we explain why we came to this conclusion.
When opening the package files of any of those apps, one can find a suspicious text file in the “assets” subfolder named “whiteList.json”.
The content of the “whiteList.json” file is consistent with the results we found during our false-positive tests: all apps whose package name match this white-list are considered “trusted applications” by these “AV apps”. For example, the whitelisted package name “com.adobe.*”, matches all packages, whose names start with “com.adobe.”. While this entry means that all genuine apps made by Adobe (such as the Acrobat Reader app) will be regarded as safe, this mechanism also allows any malicious app to bypass the security scan, simply by using “com.adobe.*” as its package name.
Apart from the apps on their respective whitelists, the risky “AV apps” block almost all other apps, regardless of whether they were installed from the official Google Play Store or not. Some of them do not even bother to add their own packages to their whitelists, causing them to report their own app. If using such an AV app, users can never be sure if any of the other apps on their device are actually malicious, because of the AV app’s “block unless whitelisted” policy. Therefore, we do not consider the protection capabilities of these apps to be appropriate.

We consider the above apps made by the following 61 developers to be risky: 1Machine System Sdn Bhd, actionappsgamesstudio, Antivirus Mobile Lab, appflozen, AppLocker Cleaner Booster, AppsNewLook, appsshow, AS team security phone Lab, AVC Security Joint Stock Company, Ayogames, azemoji studio, bESapp, Best Battery Apps, brouno, Caltonfuny Antivirus Phone, Chromia, Core Antivirus Lab, CPCORP TEAM, CreativeStudioApps, electro dev, Fast n Clean, FrouZa, GameXpZeroo, GlobalsApps, handy tools apps, jixic, lempea, MAN Studio, Marsolis Tech, MaxVV, Mobile Antivirus Lab, Mobtari, Mond Corey, Mondev44, MSolutions, MSYSOFT APPS, My Android Antivirus, Niulaty, NPC Studios, Ocean Developers, Omha, Oxic Studio, Pix2Pic Studio, playyourapp, prote apps, Protector & Security for Mobile, Radial Apps 2018, Security and Antivirus for Android solutions, Security Apps Team, SecurityApplock, Smart bapp, Smart Battery Solution & Creative Screen Lock, stmdefender, Tokyo Tokyo, Tools dev, tools for android, Utilitarian Tools, Virtues Media & Applications, Wingle Apps, XZ Game, and zeeworkers.

Real-Time Protection Feature on Android 8

Starting with version 8 (“Oreo”), Android enforces stricter limits on apps that run in the background. According to the official change logs, this was implemented to prevent excessive usage of device resources, such as RAM.
The update also made changes that require apps designed for Android Oreo to change the way they react to system events sent by the operating system (“implicit Broadcasts”). This change also affects the real-time protection feature of Android AV apps, since they rely on receiving one of these system events. AV apps use the “Package Added” Broadcast to check and scan newly installed apps.
Some developers of AV apps (including a few “bigger” developers) seem to have missed this change. This causes the real-time protection feature of their apps to miss newly installed apps, rendering the feature useless. The faulty behaviour can be observed in the Android log tool logcat:

W BroadcastQueue: Background execution not allowed: receiving Intent { act=android.intent.action.PACKAGE_ADDED […]}
The following developers did not migrate their app to Android Oreo properly: AZ Tools, CHOMAR, Defenx, GOMO Apps, IObit, eScan, PSafe, REVE Antivirus, supermobilesafe, Systweak, TG Soft, Trustlook, Trustwave, Vainfotech, VHSTUDIO, Z Team Pro.

Initially (in January and February), the Qihoo 360 app also contained this bug. At the time of publishing this report (in March) however, they have already fixed the problem.
The bug does not affect the protection capabilities of the on-demand scans of these apps. Since our test mostly focuses on real-time detections, however, we decided to test these apps on Android 6 instead.

Conclusion

Some of the Android security products in our test blocked so few of the malware samples– in some cases literally none – that they cannot reasonably be described as anti-malware apps. Compared to last year, we found even more apps using only black/whitelists as a detection mechanism. In fact, even though we tested 46 additional apps this year, the number of apps which we consider “usable” has stayed the same. 55% of the tested apps offered insufficient malware protection. Furthermore, we also found 16 apps that have not been migrated to Android 8 properly, decreasing their protection capabilities on newer Android versions.
23 of the products we tested detected 100% of the malware samples; considering that the most common malicious Android apps of 2018 were used, this is what they should do. Most of the vendors that usually take part in independent tests score highly, as their products are regularly scrutinised, and they actively develop them to ensure they are effective.
When it comes to choosing an Android security app, we recommend considering the following factors. Using user ratings is clearly not effective, as the vast majority of users will give their rating based solely on the user experience, without having any idea as to whether the app offers effective protection. Some other reviews will have been faked by developers. Most of the 250 apps we looked at had a review score of 4 or higher on the Google Play Store. Similarly, the number of downloads can only be a very rough guide; a successful scam app may be downloaded many times before it is found to be a scam. A recent “last updated” date also does not seem to be a good quality indicator, as many low-scoring apps had relatively recent updates.
Because of this, we recommend using only apps of well-known, verified and reputable vendors. As well as participating in tests by independent test institutes, such vendors will have a professional website with contact information and a privacy policy. It should also be possible to try the app – typically a few weeks’ trial use is allowed – before purchasing. Users can then assess the usability and any additional features of the product. A number of vendors make very effective free versions of their apps; generally these are more likely to display advertising than the paid version, though this is not always the case.

Guest expert of the Samsung World news blog Nikolay Iznov believes that there is a mess in the Android world, especially in the area of security. Therefore, it is high time for major players in the mobile market to think about creating an ecosystem based on their own operating platforms.