Tyrėjai „Google Play“ rado QR skaitytuvų su įterptomis kenkėjiškomis programomis
Kenkėjiškų programų analitikai iš SophosLabs aptiko Android virusą[1] padermė, kuri yra apgaulingose ARBA skaitymo programose. Šiuo metu antivirusinės programos aptinka giją pavadinimu Andr/HiddnAd-AJ, kuri reiškia reklamuojamą programą arba dar vadinamą reklamine programa.
Kenkėjiška programa buvo sukurta taip, kad įdiegus užkrėstą programėlę pateiktų nesibaigiančius skelbimus. Tyrėjų teigimu, ši kenkėjiška programa atvertų atsitiktinius skirtukus su skelbimais, nuolat siųstų nuorodas arba rodytų pranešimus su reklaminiu turiniu.
Ekspertai nustatė šešias QR kodo nuskaitymo programas ir vieną tariamai pavadintą „Išmaniuoju kompasu“. Nors ir analitikai pranešė „Google Play“ apie kenkėjiškas programas, daugiau nei 500 000 vartotojų jas atsisiuntė prieš tai parblokštas[2].
Kenkėjiška programa apejo „Google“ saugumą, todėl jos kodas atrodė įprastas
Analizės metu mokslininkai išsiaiškino, kad įsilaužėliai naudojo sudėtingus metodus, kad padėtų kenkėjiškajai programai pranokti „Play Protect“ patvirtinimą. Kenkėjiškos programos scenarijus buvo sukurtas taip, kad atrodytų kaip nekalta „Android“ programavimo biblioteka, pridėjus apgaulingą
grafika subkomponentas[3]:Trečia, kiekvienos programos reklaminių programų dalis buvo įterpta į tai, kas iš pirmo žvilgsnio atrodo kaip standartinė „Android“ programavimo biblioteka, kuri pati buvo įterpta į programą.
Pridėję nekaltai atrodantį „grafikos“ komponentą prie programavimo veiksmų rinkinio, kurį norėtumėte tikitės rasti įprastoje „Android“ programoje, programėlės viduje esantis reklaminių programų variklis veiksmingai slepiasi žvilgsnis.
Be to, sukčiai užprogramavo kenkėjiškas QR kodo programas, kad kelioms valandoms paslėptų jų reklamuojamas funkcijas, kad nesukeltų vartotojų rūpesčių.[4]. Pagrindinis kenkėjiškų programų autorių tikslas yra privilioti vartotojus spustelėti reklamas ir generuoti pajamas iš mokėjimo už paspaudimą[5].
Piratai gali nuotoliniu būdu administruoti reklaminių programų veikimą
Tyrimo metu IT ekspertai sugebėjo apibendrinti veiksmus, kurių ėmėsi kenkėjiška programa, kai ji apsigyveno sistemoje. Keista, kad jis prisijungia prie nuotolinio serverio, kurį nusikaltėliai valdo iškart po įdiegimo ir prašo atlikti užduotis.
Be to, įsilaužėliai kenkėjiškajai programai siunčia skelbimų URL sąrašą, „Google“ skelbimų rinkinio ID ir pranešimų tekstus, kurie turėtų būti rodomi tiksliniame išmaniajame telefone. Tai suteikia nusikaltėliams galimybę kontroliuoti, kokius skelbimus jie nori skelbti aukoms skirtoje reklamoje palaikomoje programoje ir kaip agresyviai tai turėtų būti daroma.