Teadlased leidsid Google Playst manustatud pahavaraga QR-lugejad
SophosLabsi pahavara analüütikud avastasid Androidi viiruse[1] tüvi, mis asub petlikes VÕI lugemisutiliitides. Praegu tuvastavad viirusetõrjeprogrammid lõime Andr/HiddnAd-AJ nime all, mis viitab reklaamitoega rakendusele või tuntud ka kui reklaamvara.
Pahavara oli mõeldud lõputute reklaamide edastamiseks pärast nakatunud rakenduse installimist. Teadlaste sõnul avaks see pahatahtlik programm juhuslikke vahekaarte reklaamidega, saadaks linke või kuvaks pidevalt reklaamsisuga märguandeid.
Eksperdid on tuvastanud kuus QR-koodi skannimise rakendust ja ühe väidetavalt nimega "Smart Compass". Isegi kui analüütikud on Google Playle teatanud pahatahtlike programmide kohta, enam kui 500 000 kasutajat olid need alla laadinud enne maha võetud[2].
Pahavara hoidis Google'i turvalisusest mööda, muutes selle koodi korrapäraseks
Analüüsi käigus leidsid teadlased, et häkkerid on kasutanud keerukaid tehnikaid, et aidata pahatahtlikul programmil ületada Play Protecti kontrolli. Pahavara skript nägi välja nagu süütu Androidi programmeerimisteegi, lisades sellele petliku
graafika alamkomponent[3]:Kolmandaks oli iga rakenduse reklaamvara osa manustatud sellesse, mis näib esmapilgul tavalise Androidi programmeerimisteegi moodi, mis oli ise rakendusse manustatud.
Lisades süütu välimusega "graafika" alamkomponendi programmeerimisrutiini kogumisse, mida soovite Tavalises Androidi programmis on rakenduse sees olev reklaamvara mootor tõhusalt peidus nägemine.
Lisaks programmeerisid kelmid pahatahtlikud QR-koodi rakendused paariks tunniks oma reklaamidega toetatud funktsioone peitma, et mitte tekitada kasutajate muret.[4]. Pahavara autorite peamine eesmärk on meelitada kasutajaid reklaamidel klõpsama ja teenima tasu kliki pealt tulu[5].
Häkkerid saavad reklaamvara käitumist eemalt hallata
Uurimise käigus suutsid IT-eksperdid teha kokkuvõtte ründevara poolt süsteemis settides tehtud sammudest. Üllataval kombel loob see kohe pärast installimist ühenduse kaugserveriga, mida kurjategijad kontrollivad, ja küsib ülesandeid, mis tuleks täita.
Samamoodi saadavad häkkerid pahavarale loendi reklaamide URL-idest, Google'i reklaamiüksuse ID-st ja teavitustekstidest, mis tuleks kuvada sihitud nutitelefonis. See annab kurjategijatele juurdepääsu kontrollida, milliseid reklaame nad tahavad ohvritele mõeldud reklaamitoega rakendusest läbi suruda ja kui agressiivselt seda teha.