Pētnieki pakalpojumā Google Play atrada QR lasītājus ar iegultu ļaunprātīgu programmatūru
Ļaunprātīgas programmatūras analītiķi no SophosLabs ir atklājuši Android vīrusu[1] celms, kas atrodas maldinošajās VAI lasīšanas utilītprogrammās. Pašlaik pretvīrusu programmas atklāj pavedienu ar nosaukumu Andr/HiddnAd-AJ, kas attiecas uz reklāmām atbalstīto lietojumprogrammu vai pazīstamu arī kā reklāmprogrammatūru.
Ļaunprātīga programmatūra tika izstrādāta, lai pēc inficētās lietotnes instalēšanas nodrošinātu nebeidzamas reklāmas. Pēc pētnieku domām, šī ļaunprātīgā programma atvērtu nejaušas cilnes ar reklāmām, nepārtraukti sūtītu saites vai rādītu paziņojumus ar reklāmas saturu.
Eksperti ir identificējuši sešas QR koda skenēšanas lietojumprogrammas un vienu, kas, domājams, sauc par "Viedo kompasu". Pat neskatoties uz to, ka analītiķi ir ziņojuši Google Play par ļaunprātīgajām programmām, vairāk nekā 500 000 lietotāju tās bija lejupielādējuši pirms nolaists[2].
Ļaunprātīga programmatūra apieta Google drošību, padarot tās kodu izskatu regulāru
Analīzes laikā pētnieki noskaidroja, ka hakeri ir izmantojuši sarežģītas metodes, lai palīdzētu ļaunprātīgajai programmai pārspēt Play Protect verifikāciju. Ļaunprātīgas programmatūras skripts tika izveidots tā, lai tas izskatītos kā nevainīga Android programmēšanas bibliotēka, pievienojot maldinošu grafikas apakškomponents[3]:
Treškārt, katras lietotnes reklāmprogrammatūras daļa tika iegulta tajā, kas no pirmā acu uzmetiena izskatās kā standarta Android programmēšanas bibliotēka, kas pati bija iegulta lietotnē.
Programmēšanas rutīnu kolekcijai pievienojot nevainīga izskata “grafikas” apakškomponentu sagaidāms, ka parastajā Android programmā reklāmprogrammatūras dzinējs lietotnē faktiski ir paslēpts skats.
Turklāt blēži ieprogrammēja ļaunprātīgās QR koda lietojumprogrammas, lai tās uz pāris stundām slēptu ar reklāmām atbalstītās funkcijas, lai neradītu lietotāju bažas.[4]. Ļaunprātīgas programmatūras autoru galvenais mērķis ir mudināt lietotājus noklikšķināt uz reklāmām un gūt ieņēmumus no maksas par klikšķi.[5].
Hakeri var attālināti pārvaldīt reklāmprogrammatūras darbību
Pētījuma laikā IT speciālistiem izdevās apkopot darbības, ko ļaunprogrammatūra ir veikusi, tiklīdz tā ir nokļuvusi sistēmā. Pārsteidzoši, tas savienojas ar attālo serveri, kuru kontrolē noziedznieki tūlīt pēc instalēšanas, un prasa izpildāmos uzdevumus.
Tāpat hakeri ļaunprogrammatūrai nosūta reklāmu vietrāžu URL sarakstu, Google reklāmu vienības ID un paziņojumu tekstus, kas jāparāda mērķa viedtālrunī. Tas nodrošina noziedzniekiem piekļuvi, lai kontrolētu, kādas reklāmas viņi vēlas ievietot upuriem paredzētajā lietojumprogrammā un cik agresīvi tas jādara.