A kutatók beágyazott rosszindulatú szoftverekkel rendelkező QR-olvasókat találtak a Google Playen
A SophosLabs rosszindulatú programelemzői Android-vírust fedeztek fel[1] törzs, amely a megtévesztő VAGY olvasási segédprogramokban található. Jelenleg a víruskereső programok Andr/HiddnAd-AJ néven észlelik a szálat, amely a hirdetésekkel támogatott alkalmazásra vagy más néven adware-re utal.
A kártevőt úgy tervezték, hogy a fertőzött alkalmazás telepítése után véget nem érő hirdetéseket jelenítsen meg. A kutatók szerint ez a rosszindulatú program véletlenszerű hirdetéseket tartalmazó lapokat nyitna meg, linkeket küldene, vagy folyamatosan reklámtartalmú értesítéseket jelenítene meg.
A szakértők hat QR-kód-leolvasó alkalmazást azonosítottak, és egy állítólagos „Smart Compass” nevű alkalmazást. Annak ellenére, hogy a elemzők jelentették a Google Playt a rosszindulatú programokról, több mint 500 000 felhasználó töltötte le őket, mielőtt le lett véve[2].
A rosszindulatú programok megkerülték a Google biztonságát azzal, hogy szabályosnak tették a kódját
Az elemzés során a kutatók rájöttek, hogy a hackerek kifinomult technikákat alkalmaztak annak érdekében, hogy a rosszindulatú program felülmúlja a Play Protect által végzett ellenőrzést. A rosszindulatú program szkriptjét úgy tervezték meg, hogy úgy nézzen ki, mint egy ártatlan Android programkönyvtár a megtévesztő hozzáadásával grafika részösszetevő[3]:
Harmadszor, az egyes alkalmazások adware részét beágyazták az első pillantásra egy szabványos Android programozási könyvtárba, amely maga is be volt ágyazva az alkalmazásba.
Egy ártatlan megjelenésű „grafikus” alkomponens hozzáadásával a programozási rutinok gyűjteményéhez elvárható, hogy egy szokásos Android-programban megtalálja az alkalmazáson belüli adware motort, amely gyakorlatilag elrejtőzik látás.
Ezenkívül a szélhámosok beprogramozták a rosszindulatú QR-kód alkalmazásokat, hogy néhány órára elrejtsék hirdetésekkel támogatott funkcióikat, hogy ne keltsék aggodalmakat a felhasználókban.[4]. A kártevő szerzőinek fő célja, hogy rávegyék a felhasználókat a hirdetésekre való kattintásra, és kattintásonkénti fizetésből származó bevételt generáljanak.[5].
A hackerek távolról is felügyelhetik a reklámprogramok viselkedését
A kutatás során az informatikai szakembereknek sikerült összefoglalniuk a kártevő rendszerre kerülését követően megtett lépéseket. Meglepő módon közvetlenül a telepítés után csatlakozik a távoli szerverhez, amelyet a bűnözők irányítanak, és rákérdez az elvégzendő feladatokra.
Hasonlóképpen, a hackerek elküldik a rosszindulatú programnak a hirdetési URL-ek listáját, a Google hirdetési egység azonosítóját és az értesítési szövegeket, amelyeket meg kell jeleníteni a megcélzott okostelefonon. Hozzáférést ad a bûnözõknek, hogy szabályozzák, milyen hirdetéseket akarnak átnyomni a hirdetésekkel támogatott alkalmazáson az áldozatok számára, és ezt milyen agresszíven kell megtenni.