Forskere fant QR-lesere med innebygd skadelig programvare på Google Play
Malwareanalytikere fra SophosLabs har oppdaget et Android-virus[1] stamme som ligger i villedende ELLER leseverktøy. For øyeblikket oppdager antivirusprogrammer tråden under navnet Andr/HiddnAd-AJ, som refererer til det annonsestøttede programmet eller også kjent som adware.
Skadevaren ble designet for å levere uendelige annonser etter installasjonen av den infiserte appen. Ifølge forskerne ville dette ondsinnede programmet åpne tilfeldige faner med annonser, sende lenker eller vise varsler med reklameinnhold kontinuerlig.
Ekspertene har identifisert seks QR-kodeskanningsapplikasjoner og en som angivelig kalles "Smart Compass." Selv om analytikere har rapportert Google Play om de ondsinnede programmene, mer enn 500 000 brukere hadde lastet dem ned før de ble tatt ned[2].
Skadelig programvare omgikk Googles sikkerhet ved å få koden til å se vanlig ut
Under analysen fant forskerne ut at hackere har brukt sofistikerte teknikker for å hjelpe det ondsinnede programmet til å overgå verifiseringen fra Play Protect. Skriptet til skadelig programvare ble designet for å se ut som et uskyldig Android-programmeringsbibliotek ved å legge til villedende
grafikk underkomponent[3]:For det tredje var adware-delen av hver app innebygd i det som ved første øyekast ser ut som et standard Android-programmeringsbibliotek som selv var innebygd i appen.
Ved å legge til en uskyldig utseende "grafikk" underkomponent til en samling programmeringsrutiner som du forventer å finne i et vanlig Android-program, gjemmer adware-motoren inne i appen seg effektivt syn.
I tillegg programmerte skurker de ondsinnede QR-kodeapplikasjonene til å skjule de annonsestøttede funksjonene deres i et par timer for ikke å vekke bekymringer fra brukerne.[4]. Hovedmålet til skadevareforfatterne er å lokke brukerne til å klikke på annonsene og generere betal-per-klikk-inntekter[5].
Hackere kan administrere adware-adferden eksternt
I løpet av undersøkelsen klarte IT-eksperter å oppsummere trinnene som ble tatt av skadevaren når den setter seg på systemet. Overraskende nok kobles den til den eksterne serveren som kontrolleres av kriminelle rett etter installasjonen og ber om oppgavene som skal fullføres.
På samme måte sender hackere skadevaren en liste over annonse-URL-er, Google-annonseenhets-ID og varslingstekster som skal vises på den målrettede smarttelefonen. Det gir de kriminelle tilgang til å kontrollere hvilke annonser de ønsker å presse gjennom den annonsestøttede applikasjonen for ofrene og hvor aggressivt det skal gjøres.