חוקרים מצאו קוראי QR עם תוכנות זדוניות משובצות ב-Google Play
אנליסטים של תוכנות זדוניות מ-SophosLabs גילו וירוס אנדרואיד[1] זן ששוכן בכלי עזר מטעים או קריאה. נכון לעכשיו, תוכניות אנטי-וירוס מזהות את השרשור תחת השם Andr/HiddnAd-AJ המתייחס לאפליקציה הנתמכת במודעות או המכונה גם תוכנת פרסום.
התוכנה הזדונית תוכננה לספק מודעות בלתי נגמרות לאחר התקנת האפליקציה הנגועה. לדברי החוקרים, תוכנית זדונית זו תפתח כרטיסיות אקראיות עם מודעות, תשלח קישורים או תציג הודעות עם תוכן פרסומי באופן רציף.
המומחים זיהו שש יישומי סריקת קוד QR ואחד שנקרא כביכול "מצפן חכם". למרות שה אנליסטים דיווחו על Google Play על התוכניות הזדוניות, יותר מ-500,000 משתמשים הורידו אותן לפני שהן הורד[2].
תוכנה זדונית עקפה את האבטחה של גוגל בכך שגרמה לקוד שלה להיראות סדיר
במהלך הניתוח, החוקרים גילו שהאקרים השתמשו בטכניקות מתוחכמות כדי לעזור לתוכנית הזדונית לעבור את האימות על ידי Play Protect. הסקריפט של התוכנה הזדונית תוכנן להיראות כמו ספריית תכנות תמימה של אנדרואיד על ידי הוספת מטעה גרָפִיקָה רכיב משנה[3]:
שלישית, החלק של תוכנת הפרסום של כל אפליקציה הוטבע במה שנראה ממבט ראשון כמו ספריית תכנות סטנדרטית של אנדרואיד שהייתה מוטבעת בעצמה באפליקציה.
על ידי הוספת רכיב משנה "גרפי" תמים למראה לאוסף של שגרות תכנות שהיית מצפים למצוא בתוכנת אנדרואיד רגילה, מנוע תוכנת הפרסום בתוך האפליקציה מסתתר למעשה בפשטות מראה.
בנוסף, נוכלים תכנתו את יישומי קוד ה-QR הזדוני להסתיר את התכונות הנתמכות בפרסומות למשך כמה שעות כדי לא לעורר חששות מצד המשתמשים[4]. המטרה העיקרית של מחברי התוכנה הזדונית היא לפתות את המשתמשים ללחוץ על הפרסומות ולייצר הכנסה בתשלום לקליק[5].
האקרים יכולים לנהל את ההתנהגות של תוכנות פרסום מרחוק
במהלך המחקר, מומחי IT הצליחו לסכם את הצעדים שנוקטת התוכנה הזדונית ברגע שהיא מתיישבת במערכת. באופן מפתיע, הוא מתחבר לשרת המרוחק שנשלט על ידי העבריינים מיד לאחר ההתקנה ומבקש את המשימות שצריך להשלים.
באופן דומה, האקרים שולחים לתוכנה הזדונית רשימה של כתובות אתרים של מודעות, מזהה יחידת מודעות של Google וטקסטים של התראות שאמורים להיות מוצגים בסמארטפון הממוקד. זה נותן את הגישה לפושעים לשלוט באילו מודעות הם רוצים לדחוף דרך האפליקציה הנתמכת במודעות עבור הקורבנות ובאיזו אגרסיביות יש לעשות זאת.