Los investigadores encontraron lectores QR con malware incorporado en Google Play
Los analistas de malware de SophosLabs han descubierto un virus de Android[1] tensión que reside en utilidades de lectura O engañosas. Actualmente, los programas antivirus detectan el hilo con el nombre de Andr / HiddnAd-AJ, que se refiere a la aplicación con publicidad o también conocida como adware.
El malware fue diseñado para ofrecer anuncios interminables después de la instalación de la aplicación infectada. Según los investigadores, este programa malicioso abriría pestañas aleatorias con anuncios, enviaría enlaces o mostraría notificaciones con contenido publicitario de forma continua.
Los expertos han identificado seis aplicaciones de escaneo de códigos QR y una supuestamente llamada "Brújula inteligente". A pesar de Los analistas han informado a Google Play sobre los programas maliciosos, más de 500 000 usuarios los habían descargado antes de que fueran derribados[2].
El malware eludió la seguridad de Google al hacer que su código pareciera regular
Durante el análisis, los investigadores descubrieron que los piratas informáticos han utilizado técnicas sofisticadas para ayudar al programa malicioso a superar la verificación de Play Protect. El script del malware fue diseñado para parecerse a una biblioteca de programación de Android inocente al agregar engaños gráficos subcomponente[3]:
En tercer lugar, la parte de adware de cada aplicación estaba integrada en lo que a primera vista parece una biblioteca de programación estándar de Android que estaba integrada en la aplicación.
Al agregar un subcomponente de "gráficos" de apariencia inocente a una colección de rutinas de programación que esperar encontrar en un programa de Android normal, el motor de adware dentro de la aplicación se esconde efectivamente en visión.
Además, los delincuentes programaron las aplicaciones de códigos QR maliciosos para ocultar sus funciones con publicidad durante un par de horas para no plantear preocupaciones a los usuarios.[4]. El objetivo principal de los autores del malware es atraer a los usuarios para que hagan clic en los anuncios y generen ingresos de pago por clic.[5].
Los piratas informáticos pueden administrar el comportamiento del adware de forma remota
Durante la investigación, los expertos en TI lograron resumir los pasos dados por el malware una vez que se instala en el sistema. Sorprendentemente, se conecta al servidor remoto que es controlado por los delincuentes inmediatamente después de la instalación y solicita las tareas que deben completarse.
Del mismo modo, los piratas informáticos envían al malware una lista de URL de anuncios, ID de bloque de anuncios de Google y textos de notificación que deben mostrarse en el teléfono inteligente objetivo. Les da acceso a los delincuentes para controlar qué anuncios quieren publicar a través de la aplicación con publicidad para las víctimas y qué tan agresivamente se debe hacer.