Изследователите откриха QR четци с вграден зловреден софтуер в Google Play
Анализатори на зловреден софтуер от SophosLabs откриха вирус за Android[1] щам, който се намира в измамни ИЛИ помощни програми за четене. Понастоящем антивирусните програми откриват нишката под името Andr/HiddnAd-AJ, което се отнася до поддържаното от реклами приложение или известно още като рекламен софтуер.
Зловредният софтуер е проектиран да доставя безкрайни реклами след инсталирането на заразеното приложение. Според изследователите тази злонамерена програма ще отваря произволни раздели с реклами, изпраща връзки или показва непрекъснато известия с рекламно съдържание.
Експертите са идентифицирали шест приложения за сканиране на QR кодове и едно, което се предполага, че се нарича „Интелигентен компас“. Въпреки че анализатори съобщават за Google Play за злонамерените програми, повече от 500 000 потребители са ги изтеглили преди да бъдат свален[2].
Зловредният софтуер заобиколи сигурността на Google, като направи кода му да изглежда редовен
По време на анализа изследователите установиха, че хакерите са използвали сложни техники, за да помогнат на злонамерената програма да надмине проверката от Play Protect. Скриптът на злонамерения софтуер е проектиран да изглежда като невинна библиотека за програмиране на Android чрез добавяне на измамно графики подкомпонент[3]:
Трето, частта за рекламен софтуер на всяко приложение беше вградена в това, което на пръв поглед изглежда като стандартна библиотека за програмиране за Android, която самата беше вградена в приложението.
Като добавите невинно изглеждащ „графичен“ подкомпонент към колекция от програми за програмиране, които бихте очаквайте да намерите в обикновена програма за Android, рекламната машина в приложението ефективно се крие в обикновена гледка.
Освен това мошениците програмираха злонамерените приложения за QR код, за да скрият поддържаните от реклами функции за няколко часа, за да не предизвикват притеснения от страна на потребителите[4]. Основната цел на авторите на зловредния софтуер е да примамят потребителите да щракнат върху рекламите и да генерират приходи от плащане на клик[5].
Хакерите могат да администрират поведението на рекламния софтуер от разстояние
По време на проучването ИТ експертите успяха да обобщят стъпките, предприети от зловредния софтуер, след като се установи в системата. Изненадващо, той се свързва с отдалечения сървър, който се контролира от престъпниците веднага след инсталацията и пита за задачите, които трябва да бъдат извършени.
По същия начин хакерите изпращат на злонамерения софтуер списък с URL адреси на реклами, идентификатор на рекламен блок на Google и текстове за известия, които трябва да се показват на целевия смартфон. Той дава достъп на престъпниците да контролират какви реклами искат да прокарат през поддържаното от реклами приложение за жертвите и колко агресивно трябва да се прави.