Исследователи обнаружили в Google Play считыватели QR-кодов со встроенным вредоносным ПО
Аналитики вредоносного ПО из SophosLabs обнаружили вирус для Android[1] напряжение, которое находится в обманчивых утилит ИЛИ чтения. В настоящее время антивирусные программы обнаруживают поток под именем Andr / HiddnAd-AJ, который относится к приложению, поддерживаемому рекламой, или также известному как рекламное ПО.
Вредоносная программа была разработана для показа бесконечной рекламы после установки зараженного приложения. По словам исследователей, эта вредоносная программа будет постоянно открывать случайные вкладки с рекламой, отправлять ссылки или отображать уведомления с рекламным контентом.
Эксперты определили шесть приложений для сканирования QR-кода и одно, предположительно, под названием «Умный компас». Хотя Аналитики сообщили о вредоносных программах в Google Play, более 500 000 пользователей скачали их до того, как они были сняты[2].
Вредоносное ПО обошло систему безопасности Google, заставив его код выглядеть обычным
В ходе анализа исследователи обнаружили, что хакеры использовали изощренные методы, чтобы помочь вредоносной программе превзойти проверку Play Protect. Скрипт вредоносной программы был разработан так, чтобы он выглядел как невинная библиотека программирования для Android, добавляя обманчивые графика подкомпонент[3]:
В-третьих, рекламная часть каждого приложения была встроена в то, что на первый взгляд выглядит как стандартная библиотека программирования Android, которая сама была встроена в приложение.
Добавив невинно выглядящий «графический» подкомпонент к набору программных процедур, которые вы ожидайте найти в обычной программе Android, движок рекламного ПО внутри приложения эффективно скрывается на простом достопримечательность.
Кроме того, злоумышленники запрограммировали вредоносные приложения с QR-кодом, чтобы скрыть свои функции, поддерживаемые рекламой, на пару часов, чтобы не вызывать у пользователей никаких опасений.[4]. Основная цель авторов вредоносного ПО - побудить пользователей нажимать на рекламные объявления и получать доход от оплаты за клик.[5].
Хакеры могут удаленно управлять поведением рекламного ПО.
В ходе исследования ИТ-специалистам удалось обобщить шаги, предпринятые вредоносным ПО после того, как оно проникло в систему. Удивительно, но он подключается к удаленному серверу, который контролируется злоумышленниками, сразу после установки и запрашивает задачи, которые необходимо выполнить.
Точно так же хакеры отправляют вредоносному ПО список URL-адресов объявлений, идентификатор рекламного блока Google и тексты уведомлений, которые должны отображаться на целевом смартфоне. Это дает злоумышленникам доступ к управлению рекламными объявлениями, которые они хотят продвигать через поддерживаемое рекламой приложение для жертв, и насколько агрессивно это должно быть сделано.