Forscher fanden QR-Reader mit eingebetteter Malware bei Google Play
Malware-Analysten der SophosLabs haben einen Android-Virus entdeckt[1] Belastung, die in betrügerischen ODER-Lese-Utilities liegt. Derzeit erkennen Antivirenprogramme den Thread unter dem Namen Andr/HiddnAd-AJ, der sich auf die werbefinanzierte Anwendung bezieht oder auch als Adware bezeichnet wird.
Die Malware wurde entwickelt, um nach der Installation der infizierten App endlose Werbung zu liefern. Laut den Forschern würde dieses Schadprogramm zufällige Tabs mit Anzeigen öffnen, Links senden oder Benachrichtigungen mit Werbeinhalten kontinuierlich anzeigen.
Die Experten haben sechs QR-Code-Scanning-Anwendungen und eine mit dem Namen „Smart Compass“ identifiziert. Obwohl die Analysten haben Google Play über die Schadprogramme berichtet, mehr als 500.000 Benutzer hatten sie heruntergeladen, bevor sie es waren abgerissen[2].
Malware hat die Sicherheit von Google umgangen, indem der Code regelmäßig aussieht
Bei der Analyse fanden die Forscher heraus, dass Hacker ausgeklügelte Techniken eingesetzt haben, um dem Schadprogramm zu helfen, die Überprüfung durch Play Protect zu übertreffen. Das Skript der Malware wurde so konzipiert, dass es wie eine unschuldige Android-Programmierbibliothek aussieht, indem es betrügerisch hinzugefügt wurde
Grafik Unterkomponente[3]:Drittens wurde der Adware-Teil jeder App in etwas eingebettet, das auf den ersten Blick wie eine standardmäßige Android-Programmierbibliothek aussieht, die selbst in die App eingebettet war.
Durch Hinzufügen einer harmlos aussehenden „Grafik“-Unterkomponente zu einer Sammlung von Programmierroutinen, die Sie erwarten, in einem normalen Android-Programm zu finden, versteckt sich die Adware-Engine in der App effektiv im Klartext Sicht.
Darüber hinaus programmierten Gauner die bösartigen QR-Code-Anwendungen, um ihre werbeunterstützten Funktionen für einige Stunden zu verbergen, um bei den Benutzern keine Bedenken zu aufkommen[4]. Das Hauptziel der Autoren der Malware besteht darin, die Benutzer dazu zu bringen, auf die Anzeigen zu klicken und Pay-per-Click-Einnahmen zu erzielen[5].
Hacker können das Verhalten von Adware aus der Ferne verwalten
Während der Recherche gelang es IT-Experten, die Schritte der Malware zusammenzufassen, sobald sie sich auf dem System festsetzte. Überraschenderweise verbindet es sich direkt nach der Installation mit dem Remote-Server, der von den Kriminellen kontrolliert wird und fragt nach den Aufgaben, die erledigt werden sollen.
Ebenso senden Hacker der Malware eine Liste mit Anzeigen-URLs, Google Ad Unit ID und Benachrichtigungstexten, die auf dem anvisierten Smartphone angezeigt werden sollen. Es gibt den Kriminellen Zugang, um zu kontrollieren, welche Anzeigen sie durch die werbefinanzierte Anwendung für die Opfer schalten möchten und wie aggressiv dies erfolgen sollte.