Badacze znaleźli czytniki kodów QR z osadzonym złośliwym oprogramowaniem w Google Play
Analitycy złośliwego oprogramowania z SophosLabs odkryli wirusa na Androida[1] szczep, który znajduje się w zwodniczych narzędziach do czytania OR. Obecnie programy antywirusowe wykrywają wątek pod nazwą Andr/HiddnAd-AJ, który odnosi się do aplikacji wspieranej przez reklamy lub znanej również jako adware.
Złośliwe oprogramowanie zostało zaprojektowane w celu dostarczania niekończących się reklam po instalacji zainfekowanej aplikacji. Według badaczy ten szkodliwy program otwierałby losowe zakładki z reklamami, wysyłał linki lub wyświetlał powiadomienia z treściami reklamowymi w sposób ciągły.
Eksperci zidentyfikowali sześć aplikacji do skanowania kodów QR i jedną rzekomo o nazwie „Inteligentny kompas”. Nawet jeśli analitycy poinformowali Google Play o szkodliwych programach, ponad 500 000 użytkowników pobrało je, zanim się pojawiły zdjęty[2].
Złośliwe oprogramowanie ominęło zabezpieczenia Google, sprawiając, że jego kod wygląda regularnie
Podczas analizy badacze odkryli, że hakerzy wykorzystali wyrafinowane techniki, aby pomóc złośliwemu programowi przewyższyć weryfikację przez Play Protect. Skrypt złośliwego oprogramowania został zaprojektowany tak, aby wyglądał jak niewinna biblioteka programistyczna Androida, dodając zwodnicze grafika podkomponent[3]:
Po trzecie, część adware każdej aplikacji była osadzona w czymś, co na pierwszy rzut oka wygląda jak standardowa biblioteka programistyczna Androida, która sama była osadzona w aplikacji.
Dodając niewinnie wyglądający podkomponent „grafika” do zbioru procedur programistycznych, które byś spodziewaj się znaleźć w zwykłym programie na Androida, silnik adware w aplikacji skutecznie ukrywa się w zwykły sposób wzrok.
Dodatkowo, oszuści zaprogramowali złośliwe aplikacje z kodami QR, aby ukrywały na kilka godzin swoje funkcje wspierane przez reklamy, aby nie wzbudzać obaw użytkowników[4]. Głównym celem autorów szkodliwego oprogramowania jest nakłonienie użytkowników do klikania reklam i generowanie przychodów z płatności za kliknięcie[5].
Hakerzy mogą zdalnie zarządzać zachowaniem oprogramowania reklamowego
Podczas badania eksperci IT zdołali podsumować kroki podjęte przez szkodliwe oprogramowanie po tym, jak zagnieździ się w systemie. Co zaskakujące, zaraz po instalacji łączy się ze zdalnym serwerem kontrolowanym przez przestępców i pyta o zadania do wykonania.
Podobnie hakerzy wysyłają złośliwemu oprogramowaniu listę adresów URL reklam, identyfikator jednostki reklamowej Google i teksty powiadomień, które powinny być wyświetlane na docelowym smartfonie. Daje dostęp przestępcom do kontrolowania, jakie reklamy chcą przekazywać ofiarom przez aplikację z reklamami i jak agresywnie należy to robić.