Les chercheurs ont trouvé des lecteurs QR avec des logiciels malveillants intégrés sur Google Play
Des analystes de logiciels malveillants des SophosLabs ont découvert un virus Android[1] souche qui réside dans des utilitaires de lecture OU trompeurs. Actuellement, les programmes antivirus détectent le fil sous le nom d'Andr/HiddnAd-AJ qui fait référence à l'application financée par la publicité ou également connue sous le nom de logiciel publicitaire.
Le malware a été conçu pour diffuser des publicités sans fin après l'installation de l'application infectée. Selon les chercheurs, ce programme malveillant ouvrirait des onglets aléatoires avec des publicités, enverrait des liens ou afficherait des notifications avec du contenu publicitaire en continu.
Les experts ont identifié six applications de numérisation de codes QR et une soi-disant appelée «Smart Compass». Même si le les analystes ont signalé à Google Play les programmes malveillants, plus de 500 000 utilisateurs les avaient téléchargés avant qu'ils ne soient démonté[2].
Les logiciels malveillants ont contourné la sécurité de Google en rendant son code régulier
Au cours de l'analyse, les chercheurs ont découvert que les pirates ont utilisé des techniques sophistiquées pour aider le programme malveillant à surpasser la vérification par Play Protect. Le script du malware a été conçu pour ressembler à une bibliothèque de programmation Android innocente en ajoutant des graphique sous-composant[3]:
Troisièmement, la partie adware de chaque application était intégrée dans ce qui ressemble à première vue à une bibliothèque de programmation Android standard qui était elle-même intégrée à l'application.
En ajoutant un sous-composant "graphique" d'apparence innocente à une collection de routines de programmation que vous voudriez attendez-vous à trouver dans un programme Android ordinaire, le moteur publicitaire à l'intérieur de l'application se cache effectivement en clair vue.
De plus, les escrocs ont programmé les applications de code QR malveillantes pour masquer leurs fonctionnalités financées par la publicité pendant quelques heures afin de ne pas inquiéter les utilisateurs.[4]. L'objectif principal des auteurs du malware est d'inciter les utilisateurs à cliquer sur les publicités et à générer des revenus de paiement par clic.[5].
Les pirates peuvent administrer à distance le comportement des logiciels publicitaires
Au cours de la recherche, les experts informatiques ont réussi à résumer les mesures prises par le malware une fois qu'il s'est installé sur le système. Étonnamment, il se connecte au serveur distant qui est contrôlé par les criminels juste après l'installation et demande les tâches à accomplir.
De même, les pirates envoient au malware une liste d'URL d'annonces, un identifiant de bloc d'annonces Google et des textes de notification qui doivent être affichés sur le smartphone ciblé. Il permet aux criminels de contrôler les publicités qu'ils souhaitent diffuser via l'application financée par la publicité pour les victimes et avec quelle agressivité cela doit être fait.