Tutkijat löysivät Google Playsta QR-lukijoita, joissa oli upotettu haittaohjelma
SophosLabsin haittaohjelmaanalyytikot ovat havainneet Android-viruksen[1] jännitys, joka sijaitsee petollisissa TAI lukuapuohjelmissa. Tällä hetkellä virustorjuntaohjelmat havaitsevat säiettä nimellä Andr/HiddnAd-AJ, joka viittaa mainostuettuun sovellukseen tai tunnetaan myös nimellä mainosohjelma.
Haittaohjelma on suunniteltu toimittamaan loputtomia mainoksia tartunnan saaneen sovelluksen asennuksen jälkeen. Tutkijoiden mukaan tämä haittaohjelma avaisi satunnaisia välilehtiä mainoksilla, lähettäisi linkkejä tai näyttäisi mainoksia sisältäviä ilmoituksia jatkuvasti.
Asiantuntijat ovat tunnistaneet kuusi QR-koodin skannaussovellusta ja yhden oletettavasti nimeltä "Smart Compass". Vaikka analyytikot ovat raportoineet Google Playlle haittaohjelmista, yli 500 000 käyttäjää oli ladannut ne ennen kuin ne otettu alas[2].
Haittaohjelmat kiersivät Googlen suojauksen saamalla sen koodin näyttämään säännölliseltä
Analyysin aikana tutkijat havaitsivat, että hakkerit ovat käyttäneet kehittyneitä tekniikoita auttaakseen haittaohjelmia ylittämään Play Protectin vahvistuksen. Haittaohjelman käsikirjoitus suunniteltiin näyttämään viattomalta Android-ohjelmointikirjastolta lisäämällä siihen petollista
Kolmanneksi kunkin sovelluksen mainosohjelmaosa oli upotettu siihen, mikä näyttää ensi silmäyksellä tavalliselta Android-ohjelmointikirjastolta, joka oli itse upotettu sovellukseen.
Lisäämällä viattoman näköisen "grafiikan" alikomponentin ohjelmointirutiinien kokoelmaan, jonka haluat Tavallisessa Android-ohjelmassa sovelluksen sisällä oleva mainosohjelma on käytännössä piilossa näky.
Lisäksi roistot ohjelmoivat haitalliset QR-koodisovellukset piilottamaan mainoksilla tuetut ominaisuudet pariksi tunniksi, jotta käyttäjät eivät aiheuta huolta.[4]. Haittaohjelman tekijöiden päätavoite on houkutella käyttäjät napsauttamaan mainoksia ja keräämään napsautuskohtaisia tuloja[5].
Hakkerit voivat hallita mainosohjelmien toimintaa etänä
IT-asiantuntijat onnistuivat tutkimuksen aikana tekemään yhteenvedon haittaohjelman toimista sen asettuttuaan järjestelmään. Yllättäen se muodostaa yhteyden etäpalvelimeen, jota rikolliset hallitsevat heti asennuksen jälkeen ja kysyy tehtäviä, jotka tulisi suorittaa.
Samoin hakkerit lähettävät haittaohjelmalle luettelon mainosten URL-osoitteista, Google-mainosyksikön tunnuksesta ja ilmoitusteksteistä, jotka tulee näyttää kohdistettuun älypuhelimeen. Se antaa rikollisille mahdollisuuden hallita, mitä mainoksia he haluavat työntää uhreille tarkoitetun mainostuetun sovelluksen läpi ja kuinka aggressiivisesti se tulee tehdä.