Forskere fandt QR-læsere med indlejret malware på Google Play
Malwareanalytikere fra SophosLabs har opdaget en Android-virus[1] stamme, der ligger i vildledende ELLER læseværktøjer. I øjeblikket registrerer antivirusprogrammer tråden under navnet Andr/HiddnAd-AJ, som refererer til det annonceunderstøttede program eller også kendt som adware.
Malwaren er designet til at levere uendelige annoncer efter installationen af den inficerede app. Ifølge forskerne ville dette ondsindede program åbne tilfældige faner med annoncer, sende links eller vise meddelelser med reklameindhold kontinuerligt.
Eksperterne har identificeret seks QR-kode-scanningsapplikationer og en, der angiveligt kaldes "Smart Compass." Selv om analytikere har rapporteret Google Play om de ondsindede programmer, mere end 500 000 brugere havde downloadet dem, før de blev taget ned[2].
Malware omgik Googles sikkerhed ved at få dens kode til at se regelmæssig ud
Under analysen fandt forskerne ud af, at hackere har brugt sofistikerede teknikker til at hjælpe det ondsindede program med at overgå bekræftelsen af Play Protect. Scriptet til malwaren var designet til at ligne et uskyldigt Android-programmeringsbibliotek ved at tilføje vildledende
grafik underkomponent[3]:For det tredje var adware-delen af hver app indlejret i, hvad der ved første øjekast ligner et standard Android-programmeringsbibliotek, der selv var indlejret i appen.
Ved at tilføje en uskyldigt udseende "grafik" underkomponent til en samling af programmeringsrutiner, som du forventer at finde i et almindeligt Android-program, gemmer adware-motoren inde i appen sig effektivt syn.
Derudover programmerede skurke de ondsindede QR-kodeapplikationer til at skjule deres annonceunderstøttede funktioner i et par timer for ikke at rejse nogen bekymringer hos brugerne[4]. Hovedformålet med malwarens forfattere er at lokke brugerne til at klikke på annoncerne og generere betal-per-klik-indtægter[5].
Hackere kan administrere adwares adfærd eksternt
I løbet af undersøgelsen lykkedes det it-eksperter at opsummere de skridt, som malwaren har taget, når den sætter sig på systemet. Overraskende nok forbinder den til fjernserveren, som styres af de kriminelle lige efter installationen og beder om de opgaver, der skal udføres.
På samme måde sender hackere malwaren en liste over annonce-URL'er, Google Ad Unit ID og meddelelsestekster, som skal vises på den målrettede smartphone. Det giver de kriminelle adgang til at kontrollere, hvilke annoncer de vil presse igennem den annoncestøttede applikation til ofrene, og hvor aggressivt det skal gøres.