I ricercatori hanno trovato lettori QR con malware incorporato su Google Play
Gli analisti di malware di SophosLabs hanno scoperto un virus Android[1] ceppo che risiede in utilità di lettura OR ingannevoli. Attualmente, i programmi antivirus rilevano il thread con il nome di Andr/HiddnAd-AJ che si riferisce all'applicazione supportata dalla pubblicità o nota anche come adware.
Il malware è stato progettato per fornire pubblicità senza fine dopo l'installazione dell'app infetta. Secondo i ricercatori, questo programma dannoso aprirebbe schede casuali con annunci, invierebbe collegamenti o visualizzerà continuamente notifiche con contenuti pubblicitari.
Gli esperti hanno identificato sei applicazioni di scansione del codice QR e una presumibilmente chiamata "Smart Compass". Anche se il gli analisti hanno segnalato a Google Play dei programmi dannosi, più di 500.000 utenti li avevano scaricati prima che lo fossero abbattuto[2].
Il malware ha aggirato la sicurezza di Google facendo sembrare il suo codice regolare
Durante l'analisi, i ricercatori hanno scoperto che gli hacker hanno utilizzato tecniche sofisticate per aiutare il programma dannoso a superare la verifica di Play Protect. Lo script del malware è stato progettato per sembrare un'innocente libreria di programmazione Android aggiungendo ingannevoli grafica sottocomponente[3]:
In terzo luogo, la parte adware di ogni app è stata incorporata in quella che a prima vista sembra una libreria di programmazione Android standard che era essa stessa incorporata nell'app.
Aggiungendo un sottocomponente "grafico" dall'aspetto innocente a una raccolta di routine di programmazione che avresti aspettati di trovare in un normale programma Android, il motore adware all'interno dell'app si nasconde effettivamente in modo semplice vista.
Inoltre, i truffatori hanno programmato le applicazioni di codici QR dannose per nascondere le loro funzionalità supportate dalla pubblicità per un paio d'ore al fine di non sollevare preoccupazioni da parte degli utenti[4]. L'obiettivo principale degli autori del malware è indurre gli utenti a fare clic sugli annunci e generare entrate pay-per-click[5].
Gli hacker possono amministrare il comportamento dell'adware in remoto
Durante la ricerca, gli esperti IT sono riusciti a riassumere i passaggi intrapresi dal malware una volta che si è insediato nel sistema. Sorprendentemente, si connette al server remoto che è controllato dai criminali subito dopo l'installazione e richiede le attività da completare.
Allo stesso modo, gli hacker inviano al malware un elenco di URL di annunci, ID unità pubblicitaria di Google e testi di notifica che dovrebbero essere visualizzati sullo smartphone di destinazione. Dà l'accesso ai criminali per controllare quali annunci vogliono far passare attraverso l'applicazione supportata da pubblicità per le vittime e con quanta aggressività dovrebbe essere fatto.