Onderzoekers vonden QR-lezers met ingesloten malware op Google Play
Malware-analisten van SophosLabs hebben een Android-virus ontdekt[1] stam die zich in misleidende OR-leeshulpprogramma's bevindt. Momenteel detecteren antivirusprogramma's de thread onder de naam Andr/HiddnAd-AJ, die verwijst naar de door advertenties ondersteunde applicatie of ook wel bekend als adware.
De malware is ontworpen om nooit eindigende advertenties te leveren na de installatie van de geïnfecteerde app. Volgens de onderzoekers zou dit kwaadaardige programma willekeurige tabbladen met advertenties openen, links verzenden of voortdurend meldingen met advertentie-inhoud weergeven.
De experts hebben zes toepassingen voor het scannen van QR-codes geïdentificeerd en één die zogenaamd 'Smart Compass' wordt genoemd. Ook al is de analisten hebben Google Play gerapporteerd over de kwaadaardige programma's, meer dan 500 000 gebruikers hadden ze gedownload voordat ze waren naar beneden genomen[2].
Malware heeft de beveiliging van Google omzeild door de code er normaal uit te laten zien
Tijdens de analyse ontdekten onderzoekers dat hackers geavanceerde technieken hebben gebruikt om het kwaadaardige programma te helpen de verificatie door Play Protect te overtreffen. Het script van de malware is ontworpen om eruit te zien als een onschuldige Android-programmeerbibliotheek door misleidende toe te voegen afbeeldingen subcomponent[3]:
Ten derde was het adware-gedeelte van elke app ingebed in wat op het eerste gezicht lijkt op een standaard Android-programmeerbibliotheek die zelf in de app was ingebed.
Door een onschuldig ogende "grafische" subcomponent toe te voegen aan een verzameling programmeerroutines die u verwacht te vinden in een gewoon Android-programma, de adware-engine in de app verbergt zich effectief in het echt zicht.
Bovendien programmeerden oplichters de kwaadaardige QR-code-applicaties om hun advertentie-ondersteunde functies een paar uur te verbergen om geen zorgen van de gebruikers te uiten[4]. Het belangrijkste doel van de auteurs van de malware is om de gebruikers te verleiden om op de advertenties te klikken en pay-per-click-inkomsten te genereren[5].
Hackers kunnen het gedrag van adware op afstand beheren
Tijdens het onderzoek slaagden IT-experts erin de stappen samen te vatten die de malware nam zodra deze zich op het systeem vestigde. Verrassend genoeg maakt het verbinding met de externe server die direct na de installatie door de criminelen wordt beheerd en vraagt om de taken die moeten worden voltooid.
Evenzo sturen hackers de malware een lijst met advertentie-URL's, Google Ad Unit-ID en meldingsteksten die op de getargete smartphone moeten worden weergegeven. Het geeft de criminelen toegang om te bepalen welke advertenties ze door de advertentie-ondersteunde applicatie voor de slachtoffers willen pushen en hoe agressief dit moet gebeuren.