研究者は、GooglePlayでマルウェアが埋め込まれたQRリーダーを発見しました
PolandLabsのマルウェアアナリストがAndroidウイルスを発見しました[1] 欺瞞的または読書ユーティリティに存在する株。 現在、ウイルス対策プログラムは、Andr / HiddnAd-AJという名前のスレッドを検出します。これは、広告でサポートされているアプリケーション、またはアドウェアとも呼ばれます。
このマルウェアは、感染したアプリのインストール後に終わりのない広告を配信するように設計されています。 研究者によると、この悪意のあるプログラムは、広告付きのランダムなタブを開いたり、リンクを送信したり、広告コンテンツ付きの通知を継続的に表示したりします。
専門家は、6つのQRコードスキャンアプリケーションと、おそらく「スマートコンパス」と呼ばれる1つのアプリケーションを特定しました。 にもかかわらず アナリストは、悪意のあるプログラムについてGoogle Playを報告しており、50万人以上のユーザーがダウンロードする前にそれらをダウンロードしていました。 降ろされた[2].
マルウェアは、コードを通常のように見せることでGoogleのセキュリティを回避しました
分析中に、研究者は、ハッカーが高度な技術を使用して、悪意のあるプログラムがPlayProtectによる検証を超えるのを支援していることを発見しました。 マルウェアのスクリプトは、欺瞞的なものを追加することにより、無実のAndroidプログラミングライブラリのように見えるように設計されています グラフィック サブコンポーネント[3]:
第三に、各アプリのアドウェア部分は、それ自体がアプリに埋め込まれている標準のAndroidプログラミングライブラリのように一見したところに埋め込まれていました。
無邪気に見える「グラフィックス」サブコンポーネントを、必要なプログラミングルーチンのコレクションに追加することによって 通常のAndroidプログラムで見つかることを期待して、アプリ内のアドウェアエンジンは効果的にプレーンに隠れています 視力。
さらに、詐欺師は悪意のあるQRコードアプリケーションをプログラムして、ユーザーの懸念を引き起こさないように、広告でサポートされている機能を数時間非表示にしました。[4]. マルウェアの作成者の主な目標は、ユーザーを誘惑して広告をクリックさせ、クリック課金型の収益を生み出すことです。[5].
ハッカーはアドウェアの動作をリモートで管理できます
調査中、IT専門家は、マルウェアがシステムに定着した後の手順を要約することができました。 驚いたことに、インストール直後に犯罪者によって制御されているリモートサーバーに接続し、完了する必要のあるタスクを要求します。
同様に、ハッカーはマルウェアに、ターゲットのスマートフォンに表示する必要のある広告URL、Google Ad Unit ID、および通知テキストのリストを送信します。 これにより、犯罪者は、被害者向けの広告サポートアプリケーションを介してプッシュする広告と、それをどの程度積極的に実行するかを制御できます。