연구원들은 Google Play에서 악성코드가 포함된 QR 리더를 발견했습니다.
SophosLabs의 맬웨어 분석가가 Android 바이러스를 발견했습니다.[1] 사기성 OR 판독 유틸리티에 있는 변형. 현재 바이러스 백신 프로그램은 광고 지원 응용 프로그램 또는 애드웨어라고도 하는 Andr/HiddnAd-AJ라는 이름의 스레드를 감지합니다.
이 멀웨어는 감염된 앱 설치 후 끝없는 광고를 전달하도록 설계되었습니다. 연구원에 따르면 이 악성 프로그램은 광고가 포함된 임의의 탭을 열거나 링크를 보내거나 광고 콘텐츠가 포함된 알림을 지속적으로 표시합니다.
전문가들은 6개의 QR 코드 스캔 응용 프로그램과 "스마트 나침반"이라고 알려진 응용 프로그램을 식별했습니다. 비록 분석가들은 Google Play에서 악성 프로그램에 대해 보고했으며 500,000명 이상의 사용자가 악성 프로그램을 다운로드했습니다. 철거[2].
맬웨어는 코드를 규칙적으로 보이게 하여 Google의 보안을 우회했습니다.
분석하는 동안 연구원들은 해커가 정교한 기술을 사용하여 악성 프로그램이 Play Protect의 검증을 능가하는 것을 도왔다는 것을 발견했습니다. 악성 코드의 스크립트는 기만적인 요소를 추가하여 무고한 Android 프로그래밍 라이브러리처럼 보이도록 설계되었습니다. 제도법 하위 구성 요소[3]:
셋째, 각 앱의 애드웨어 부분은 앱에 내장된 표준 Android 프로그래밍 라이브러리처럼 언뜻 보기에 내장되어 있습니다.
순진해 보이는 "그래픽" 하위 구성 요소를 프로그래밍 루틴 모음에 추가하여 일반 Android 프로그램에서 찾을 것으로 예상되는 앱 내부의 애드웨어 엔진은 실제로 일반에 숨어 있습니다. 시력.
또한 사기꾼은 사용자의 우려를 제기하지 않기 위해 악성 QR 코드 응용 프로그램에서 광고 지원 기능을 몇 시간 동안 숨기도록 프로그래밍했습니다.[4]. 맬웨어 작성자의 주요 목표는 사용자가 광고를 클릭하도록 유도하여 클릭당 지불 수익을 창출하는 것입니다.[5].
해커는 애드웨어의 동작을 원격으로 관리할 수 있습니다.
연구 중에 IT 전문가는 악성 코드가 시스템에 정착한 후 취한 단계를 요약했습니다. 놀랍게도 설치 직후 범죄자들이 조종하는 원격 서버에 접속해 완료해야 할 작업을 묻는다.
마찬가지로 해커는 대상 스마트폰에 표시되어야 하는 광고 URL, Google Ad Unit ID 및 알림 텍스트 목록을 멀웨어에 보냅니다. 범죄자가 피해자를 위한 광고 지원 애플리케이션을 통해 어떤 광고를 푸시하고 얼마나 적극적으로 수행해야 하는지 제어할 수 있는 액세스 권한을 제공합니다.