Výzkumníci na Google Play našli čtečky QR kódů s vloženým malwarem
Malwaroví analytici ze SophosLabs objevili virus Android[1] kmen, který sídlí v klamných NEBO čtecích pomůckách. V současné době antivirové programy detekují vlákno pod názvem Andr/HiddnAd-AJ, což odkazuje na aplikaci podporovanou reklamou nebo také známou jako adware.
Malware byl navržen tak, aby po instalaci infikované aplikace zobrazoval nekonečné reklamy. Podle výzkumníků by tento škodlivý program neustále otevíral náhodné karty s reklamami, posílal odkazy nebo zobrazoval upozornění s reklamním obsahem.
Odborníci identifikovali šest aplikací pro skenování QR kódů a jednu údajně nazvanou „Smart Compass“. I když analytici oznámili Google Play o škodlivých programech, stáhlo si je více než 500 000 uživatelů předtím, než byly sestřelen[2].
Malware obešel zabezpečení Google tím, že jeho kód vypadal pravidelně
Během analýzy vědci zjistili, že hackeři použili sofistikované techniky, aby pomohli škodlivému programu překonat ověření Play Protect. Skript malwaru byl navržen tak, aby vypadal jako nevinná programovací knihovna pro Android přidáním klamavého
grafika dílčí komponenta[3]:Zatřetí, adwarová část každé aplikace byla zabudována do toho, co na první pohled vypadá jako standardní programovací knihovna pro Android, která byla sama zabudována do aplikace.
Přidáním nevinně vypadající podsoučásti „graphics“ do kolekce programovacích rutin, které byste očekávejte, že v běžném programu pro Android najdete adwarový engine uvnitř aplikace, který se efektivně skrývá pohled.
Kromě toho podvodníci naprogramovali aplikace se škodlivým kódem QR tak, aby na několik hodin skryly své funkce podporované reklamami, aby nevyvolali u uživatelů žádné obavy.[4]. Hlavním cílem autorů malwaru je nalákat uživatele, aby klikali na reklamy a generovali příjmy s platbou za proklik.[5].
Hackeři mohou spravovat chování adwaru na dálku
Během výzkumu se IT expertům podařilo shrnout kroky, které malware podnikl, jakmile se usadí v systému. Překvapivě se hned po instalaci připojí ke vzdálenému serveru, který ovládají zločinci, a zeptá se na úkoly, které je třeba dokončit.
Podobně hackeři odesílají malwaru seznam adres URL reklam, ID reklamní jednotky Google a texty oznámení, které by se měly zobrazit na cíleném smartphonu. Poskytuje zločincům přístup ke kontrole, jaké reklamy chtějí prosadit prostřednictvím aplikace podporované reklamami pro oběti a jak agresivně by to mělo být provedeno.