Os pesquisadores encontraram leitores de QR com malware incorporado no Google Play
Analistas de malware da SophosLabs descobriram um vírus Android[1] cepa que reside em utilitários de leitura OR enganosos. Atualmente, os programas antivírus detectam o thread com o nome de Andr / HiddnAd-AJ, que se refere ao aplicativo com suporte de anúncio ou também conhecido como adware.
O malware foi projetado para entregar anúncios sem fim após a instalação do aplicativo infectado. De acordo com os pesquisadores, esse programa malicioso abriria guias aleatórias com anúncios, enviaria links ou exibiria notificações com conteúdo publicitário continuamente.
Os especialistas identificaram seis aplicativos de leitura de código QR e um supostamente chamado de "Bússola Inteligente". Mesmo que a analistas relataram o Google Play sobre os programas maliciosos, mais de 500.000 usuários fizeram download deles antes de serem derrubado[2].
O malware burlou a segurança do Google ao fazer seu código parecer regular
Durante a análise, os pesquisadores descobriram que os hackers usaram técnicas sofisticadas para ajudar o programa malicioso a superar a verificação do Play Protect. O script do malware foi projetado para se parecer com uma biblioteca de programação Android inocente, adicionando
gráficos subcomponente[3]:Terceiro, a parte adware de cada aplicativo foi incorporada no que parece à primeira vista como uma biblioteca de programação Android padrão que foi incorporada no aplicativo.
Adicionando um subcomponente "gráfico" de aparência inocente a uma coleção de rotinas de programação que você esperamos encontrar em um programa Android normal, o mecanismo de adware dentro do aplicativo está efetivamente escondido na superfície visão.
Além disso, os criminosos programaram os aplicativos maliciosos de código QR para ocultar seus recursos suportados por anúncios por algumas horas, a fim de não levantar quaisquer preocupações dos usuários[4]. O principal objetivo dos autores do malware é fazer com que os usuários cliquem nos anúncios e gerem receita de pagamento por clique[5].
Os hackers podem administrar o comportamento do adware remotamente
Durante a pesquisa, os especialistas em TI conseguiram resumir as etapas executadas pelo malware depois que ele se instalou no sistema. Surpreendentemente, ele se conecta ao servidor remoto que é controlado pelos criminosos logo após a instalação e pede as tarefas que devem ser concluídas.
Da mesma forma, os hackers enviam ao malware uma lista de URLs de anúncios, ID do Google Ad Unit e textos de notificação que devem ser exibidos no smartphone direcionado. Dá acesso aos criminosos para controlar quais anúncios eles desejam enviar por meio do aplicativo suportado por anúncios para as vítimas e com que agressividade isso deve ser feito.