Forskare hittade QR-läsare med inbäddad skadlig programvara på Google Play
Malwareanalytiker från SophosLabs har upptäckt ett Android-virus[1] stam som finns i vilseledande ELLER-läsverktyg. För närvarande upptäcker antivirusprogram tråden under namnet Andr/HiddnAd-AJ som hänvisar till den annonsstödda applikationen eller även känd som adware.
Skadlig programvara designades för att leverera oändliga annonser efter installationen av den infekterade appen. Enligt forskarna skulle detta skadliga program öppna slumpmässiga flikar med annonser, skicka länkar eller visa meddelanden med reklaminnehåll kontinuerligt.
Experterna har identifierat sex QR-kodskanningsprogram och en som ska kallas "Smart Compass." Även om analytiker har rapporterat Google Play om de skadliga programmen, mer än 500 000 användare hade laddat ner dem innan de nertagen[2].
Skadlig programvara kringgick Googles säkerhet genom att få dess kod att se regelbunden ut
Under analysen upptäckte forskare att hackare har använt sofistikerade tekniker för att hjälpa det skadliga programmet att överträffa verifieringen av Play Protect. Skriptet för skadlig programvara designades för att se ut som ett oskyldigt Android-programmeringsbibliotek genom att lägga till vilseledande
För det tredje var adware-delen av varje app inbäddad i vad som vid första anblicken ser ut som ett standardprogram för Android-programbibliotek som självt var inbäddat i appen.
Genom att lägga till en oskyldigt utseende "grafik" underkomponent till en samling programmeringsrutiner som du förväntar sig att hitta i ett vanligt Android-program, adware-motorn inuti appen gömmer sig effektivt syn.
Dessutom programmerade skurkar de skadliga QR-kodapplikationerna för att dölja deras annonsstödda funktioner i ett par timmar för att inte väcka några bekymmer från användarna[4]. Huvudmålet för upphovsmännen till skadlig programvara är att locka användarna att klicka på annonserna och generera intäkter per klick[5].
Hackare kan administrera adwares beteende på distans
Under undersökningen lyckades IT-experter sammanfatta de steg som skadlig programvara har tagit när den väl etablerat sig i systemet. Överraskande nog ansluter den till fjärrservern som kontrolleras av brottslingarna direkt efter installationen och frågar efter de uppgifter som ska slutföras.
På samma sätt skickar hackare till skadlig programvara en lista med annonswebbadresser, Google Ad Unit ID och meddelandetexter som ska visas på den riktade smartphonen. Det ger tillgång till brottslingarna att kontrollera vilka annonser de vill driva igenom den annonsstödda applikationen för offren och hur aggressivt det ska göras.