Výskumníci našli na Google Play čítačky QR kódov so zabudovaným malvérom
Analytici malvéru zo SophosLabs objavili vírus Android[1] kmeň, ktorý sa nachádza v klamlivých ALEBO čítacích nástrojoch. V súčasnosti antivírusové programy detegujú vlákno pod názvom Andr/HiddnAd-AJ, čo sa týka aplikácie podporovanej reklamami alebo známej aj ako adware.
Malvér bol navrhnutý tak, aby po inštalácii infikovanej aplikácie zobrazoval nekonečné reklamy. Podľa vedcov by tento škodlivý program otváral náhodné karty s reklamami, odosielal odkazy či zobrazoval upozornenia s reklamným obsahom nepretržite.
Odborníci identifikovali šesť aplikácií na skenovanie QR kódov a jednu údajne nazvanú „Inteligentný kompas“. Aj keď Analytici informovali Google Play o škodlivých programoch, viac ako 500 000 používateľov si ich stiahlo skôr, ako boli stiahnuté[2].
Malvér obišiel bezpečnosť Google tým, že jeho kód vyzeral normálne
Počas analýzy vedci zistili, že hackeri použili sofistikované techniky, aby pomohli škodlivému programu prekonať overenie Play Protect. Skript malvéru bol navrhnutý tak, aby vyzeral ako nevinná programovacia knižnica pre Android pridaním klamlivého obsahu
grafika subkomponent[3]:Po tretie, advérová časť každej aplikácie bola vložená do toho, čo na prvý pohľad vyzerá ako štandardná programovacia knižnica pre Android, ktorá bola sama vložená do aplikácie.
Pridaním nevinne vyzerajúceho „grafického“ podkomponentu do zbierky programovacích rutín, ktoré by ste Očakávajte, že v bežnom programe pre Android nájdete adware engine vnútri aplikácie, ktorý sa efektívne skrýva zrak.
Okrem toho podvodníci naprogramovali škodlivé aplikácie s QR kódom tak, aby skryli svoje funkcie podporované reklamami na niekoľko hodín, aby nevyvolali u používateľov žiadne obavy.[4]. Hlavným cieľom autorov malvéru je prilákať používateľov, aby klikali na reklamy a generovali príjmy s platbou za kliknutie.[5].
Hackeri môžu spravovať správanie adwaru na diaľku
Počas výskumu sa IT odborníkom podarilo zhrnúť kroky, ktoré malvér podnikol, keď sa usadil v systéme. Prekvapivo sa hneď po inštalácii pripojí na vzdialený server, ktorý ovládajú zločinci a pýta sa na úlohy, ktoré treba dokončiť.
Podobne hackeri posielajú malvéru zoznam adries URL reklám, ID reklamnej jednotky Google a texty upozornení, ktoré by sa mali zobraziť na zacielenom smartfóne. Poskytuje zločincom prístup k tomu, aby kontrolovali, aké reklamy chcú obetiam pretlačiť cez aplikáciu podporovanú reklamami a ako agresívne by to malo byť vykonané.