Cercetătorii au găsit cititoare QR cu programe malware încorporate pe Google Play
Analiștii de programe malware de la SophosLabs au descoperit un virus Android[1] tulpină care rezidă în utilități de citire SAU înșelătoare. În prezent, programele antivirus detectează firul sub numele de Andr/HiddnAd-AJ care se referă la aplicația susținută de anunțuri sau cunoscută și sub numele de adware.
Programul malware a fost conceput pentru a oferi reclame fără sfârșit după instalarea aplicației infectate. Potrivit cercetătorilor, acest program rău intenționat ar deschide file aleatoare cu reclame, ar trimite link-uri sau ar afișa continuu notificări cu conținut publicitar.
Experții au identificat șase aplicații de scanare a codurilor QR și una numită „Busola inteligentă”. Chiar dacă cel analiștii au raportat Google Play despre programele rău intenționate, peste 500 000 de utilizatori le descărcaseră înainte de a fi daramat[2].
Programele malware au ocolit securitatea Google, făcând codul său să arate obișnuit
În timpul analizei, cercetătorii au descoperit că hackerii au folosit tehnici sofisticate pentru a ajuta programul rău intenționat să depășească verificarea de către Play Protect. Scriptul malware-ului a fost conceput pentru a arăta ca o bibliotecă de programare Android nevinovată, prin adăugarea înșelătoare grafică subcomponenta[3]:
În al treilea rând, partea adware a fiecărei aplicații a fost încorporată în ceea ce pare la prima vedere ca o bibliotecă de programare Android standard care a fost ea însăși încorporată în aplicație.
Adăugând o subcomponentă „grafică” cu aspect inocent la o colecție de rutine de programare pe care le-ați așteptați-vă să găsiți într-un program Android obișnuit, motorul adware din interiorul aplicației se ascunde efectiv vedere.
În plus, escrocii au programat aplicațiile rău intenționate de coduri QR pentru a-și ascunde funcțiile susținute de reclame timp de câteva ore, pentru a nu ridica probleme utilizatorilor.[4]. Scopul principal al autorilor malware-ului este de a atrage utilizatorii să facă clic pe reclame și să genereze venituri cu plata pe clic[5].
Hackerii pot administra comportamentul adware de la distanță
În timpul cercetării, experții IT au reușit să rezume pașii parcurși de malware odată ce acesta se instalează în sistem. În mod surprinzător, se conectează la serverul de la distanță care este controlat de criminali imediat după instalare și solicită sarcinile care ar trebui finalizate.
De asemenea, hackerii trimit malware-ului o listă de adrese URL de anunțuri, ID-ul unității de anunțuri Google și texte de notificare care ar trebui să fie afișate pe smartphone-ul vizat. Oferă acces infractorilor pentru a controla reclamele pe care doresc să le transmită prin aplicația susținută de reclame pentru victime și cât de agresiv ar trebui să fie făcut.