Οι ερευνητές βρήκαν αναγνώστες QR με ενσωματωμένο κακόβουλο λογισμικό στο Google Play
Αναλυτές κακόβουλου λογισμικού από τη SophosLabs ανακάλυψαν έναν ιό Android[1] στέλεχος που βρίσκεται σε παραπλανητικά βοηθητικά προγράμματα Ή ανάγνωσης. Επί του παρόντος, τα προγράμματα προστασίας από ιούς εντοπίζουν το νήμα με το όνομα Andr/HiddnAd-AJ που αναφέρεται στην εφαρμογή που υποστηρίζεται από διαφημίσεις ή είναι επίσης γνωστή ως adware.
Το κακόβουλο λογισμικό σχεδιάστηκε για να παρέχει ατελείωτες διαφημίσεις μετά την εγκατάσταση της μολυσμένης εφαρμογής. Σύμφωνα με τους ερευνητές, αυτό το κακόβουλο πρόγραμμα θα άνοιγε τυχαίες καρτέλες με διαφημίσεις, θα έστελνε συνδέσμους ή θα εμφανίσει ειδοποιήσεις με διαφημιστικό περιεχόμενο συνεχώς.
Οι ειδικοί εντόπισαν έξι εφαρμογές σάρωσης κωδικών QR και μία που υποτίθεται ότι ονομάζεται «Έξυπνη Πυξίδα». Παρόλο που το αναλυτές έχουν αναφέρει το Google Play σχετικά με τα κακόβουλα προγράμματα, περισσότεροι από 500.000 χρήστες τα είχαν κατεβάσει πριν κατεβασμένα[2].
Το κακόβουλο λογισμικό παρέκαμψε την ασφάλεια της Google κάνοντας τον κώδικά της να φαίνεται κανονικός
Κατά τη διάρκεια της ανάλυσης, οι ερευνητές ανακάλυψαν ότι οι χάκερ έχουν χρησιμοποιήσει εξελιγμένες τεχνικές για να βοηθήσουν το κακόβουλο πρόγραμμα να ξεπεράσει την επαλήθευση από το Play Protect. Το σενάριο του κακόβουλου λογισμικού σχεδιάστηκε για να μοιάζει με μια αθώα βιβλιοθήκη προγραμματισμού Android προσθέτοντας παραπλανητικά γραφικά υποσυστατικό[3]:
Τρίτον, το τμήμα adware κάθε εφαρμογής ήταν ενσωματωμένο σε κάτι που μοιάζει με την πρώτη ματιά σαν μια τυπική βιβλιοθήκη προγραμματισμού Android που ήταν η ίδια ενσωματωμένη στην εφαρμογή.
Προσθέτοντας ένα αθώο υποσυστατικό "γραφικά" σε μια συλλογή από ρουτίνες προγραμματισμού που θα αναμένετε να βρείτε σε ένα κανονικό πρόγραμμα Android, η μηχανή διαφημίσεων λογισμικού μέσα στην εφαρμογή κρύβεται στην πραγματικότητα θέαμα.
Επιπλέον, οι απατεώνες προγραμμάτισαν τις κακόβουλες εφαρμογές κωδικών QR για να αποκρύψουν τις λειτουργίες που υποστηρίζονται από διαφημίσεις για μερικές ώρες, προκειμένου να μην εγείρουν ανησυχίες από τους χρήστες[4]. Ο κύριος στόχος των δημιουργών του κακόβουλου λογισμικού είναι να παρασύρουν τους χρήστες να κάνουν κλικ στις διαφημίσεις και να δημιουργήσουν έσοδα ανά κλικ[5].
Οι χάκερ μπορούν να διαχειριστούν τη συμπεριφορά του adware από απόσταση
Κατά τη διάρκεια της έρευνας, ειδικοί πληροφορικής κατάφεραν να συνοψίσουν τα βήματα που έκανε το κακόβουλο λογισμικό μόλις εγκατασταθεί στο σύστημα. Παραδόξως, συνδέεται με τον απομακρυσμένο διακομιστή που ελέγχεται από τους εγκληματίες αμέσως μετά την εγκατάσταση και ζητά τις εργασίες που πρέπει να ολοκληρωθούν.
Ομοίως, οι χάκερ στέλνουν στο κακόβουλο λογισμικό μια λίστα με διευθύνσεις URL διαφημίσεων, αναγνωριστικό ενότητας διαφημίσεων Google και κείμενα ειδοποιήσεων που θα πρέπει να εμφανίζονται στο στοχευμένο smartphone. Δίνει την πρόσβαση στους εγκληματίες να ελέγχουν ποιες διαφημίσεις θέλουν να προωθήσουν μέσω της εφαρμογής που υποστηρίζεται από διαφημίσεις για τα θύματα και πόσο επιθετικά πρέπει να γίνει.