Peneliti menemukan pembaca QR dengan malware yang disematkan di Google Play
Analis malware dari SophosLabs telah menemukan virus Android[1] regangan yang berada di utilitas membaca ATAU menipu. Saat ini, program antivirus mendeteksi thread dengan nama Andr/HiddnAd-AJ yang mengacu pada aplikasi yang didukung iklan atau juga dikenal sebagai adware.
Malware ini dirancang untuk menayangkan iklan tanpa akhir setelah penginstalan aplikasi yang terinfeksi. Menurut para peneliti, program jahat ini akan membuka tab acak dengan iklan, mengirim tautan, atau menampilkan pemberitahuan dengan konten iklan secara terus menerus.
Para ahli telah mengidentifikasi enam aplikasi pemindaian kode QR dan satu yang disebut "Kompas Cerdas". Meskipun analis telah melaporkan Google Play tentang program jahat, lebih dari 500.000 pengguna telah mengunduhnya sebelum mereka diturunkan[2].
Malware menghindari keamanan Google dengan membuat kodenya terlihat biasa
Selama analisis, peneliti menemukan bahwa peretas telah menggunakan teknik canggih untuk membantu program jahat melampaui verifikasi oleh Play Protect. Skrip malware dirancang agar terlihat seperti perpustakaan pemrograman Android yang tidak bersalah dengan menambahkan tipuan
grafis subkomponen[3]:Ketiga, bagian adware dari setiap aplikasi disematkan dalam apa yang tampak seperti perpustakaan pemrograman Android standar yang tertanam dalam aplikasi itu sendiri.
Dengan menambahkan subkomponen "grafik" yang tampak polos ke kumpulan rutinitas pemrograman yang akan Anda berharap untuk menemukan dalam program Android biasa, mesin adware di dalam aplikasi secara efektif bersembunyi di polos penglihatan.
Selain itu, penjahat memprogram aplikasi kode QR berbahaya untuk menyembunyikan fitur yang didukung iklan selama beberapa jam agar tidak menimbulkan kekhawatiran oleh pengguna.[4]. Tujuan utama pembuat malware adalah untuk memikat pengguna agar mengklik iklan dan menghasilkan pendapatan bayar per klik[5].
Peretas dapat mengatur perilaku adware dari jarak jauh
Selama penelitian, pakar TI berhasil merangkum langkah-langkah yang diambil oleh malware setelah menetap di sistem. Anehnya, itu terhubung ke server jauh yang dikendalikan oleh penjahat tepat setelah instalasi dan meminta tugas yang harus diselesaikan.
Demikian juga, peretas mengirim malware daftar URL iklan, ID Google Ad Unit, dan teks notifikasi yang harus ditampilkan di ponsel cerdas yang ditargetkan. Ini memberikan akses kepada penjahat untuk mengontrol iklan apa yang ingin mereka dorong melalui aplikasi yang didukung iklan untuk para korban dan seberapa agresif hal itu harus dilakukan.