Google Play Store: มัลแวร์บนแอปรหัส QR ติดผู้ใช้มากกว่า 500,000 คน

เบ็ดเตล็ดDec 19, 2021
click fraud protection

นักวิจัยพบเครื่องอ่าน QR ที่มีมัลแวร์ฝังตัวใน Google Play

พบมัลแวร์ในแอปรหัส QR ใน Google Play Store

นักวิเคราะห์มัลแวร์จาก SophosLabs ตรวจพบไวรัส Android[1] สายพันธุ์ที่อยู่ในโปรแกรมอรรถประโยชน์การหลอกลวงหรือการอ่าน ในปัจจุบัน โปรแกรมป้องกันไวรัสตรวจพบเธรดภายใต้ชื่อ Andr/HiddnAd-AJ ซึ่งอ้างอิงถึงแอปพลิเคชันที่สนับสนุนโฆษณาหรือที่เรียกว่าแอดแวร์

มัลแวร์ถูกออกแบบมาเพื่อแสดงโฆษณาที่ไม่มีที่สิ้นสุดหลังจากการติดตั้งแอพที่ติดไวรัส นักวิจัยระบุว่าโปรแกรมที่เป็นอันตรายนี้จะเปิดแท็บสุ่มที่มีโฆษณา ส่งลิงก์หรือแสดงการแจ้งเตือนพร้อมเนื้อหาโฆษณาอย่างต่อเนื่อง

ผู้เชี่ยวชาญระบุแอปพลิเคชันการสแกนรหัส QR หกแอปพลิเคชันและแอปพลิเคชันหนึ่งที่เรียกว่า "เข็มทิศอัจฉริยะ" แม้ว่า นักวิเคราะห์รายงาน Google Play เกี่ยวกับโปรแกรมที่เป็นอันตราย ผู้ใช้มากกว่า 500,000 คนดาวน์โหลดมาก่อน ถอดออก[2].

มัลแวร์หลบเลี่ยงความปลอดภัยของ Google ด้วยการทำให้โค้ดดูเป็นปกติ

ในระหว่างการวิเคราะห์ นักวิจัยพบว่าแฮกเกอร์ได้ใช้เทคนิคที่ซับซ้อนเพื่อช่วยให้โปรแกรมที่เป็นอันตรายผ่านการตรวจสอบโดย Play Protect สคริปต์ของมัลแวร์ได้รับการออกแบบให้ดูเหมือนไลบรารีการเขียนโปรแกรม Android ที่ไร้เดียงสาโดยเพิ่มการหลอกลวง กราฟิก องค์ประกอบย่อย[3]:

ประการที่สาม ส่วนแอดแวร์ของแต่ละแอปถูกฝังอยู่ในสิ่งที่มองเห็นได้ตั้งแต่แรกเห็น เช่นเดียวกับไลบรารีการเขียนโปรแกรม Android มาตรฐานที่ฝังอยู่ในแอป

โดยการเพิ่มองค์ประกอบย่อย “กราฟิก” ที่ดูไร้เดียงสาลงในคอลเลกชันของกิจวัตรการเขียนโปรแกรมที่คุณต้องการ คาดว่าจะพบในโปรแกรม Android ปกติ เอ็นจิ้นแอดแวร์ภายในแอพซ่อนอยู่ในแบบธรรมดาอย่างมีประสิทธิภาพ ภาพ.

นอกจากนี้ อาชญากรยังตั้งโปรแกรมแอปพลิเคชันโค้ด QR ที่เป็นอันตรายเพื่อซ่อนคุณลักษณะที่สนับสนุนโฆษณาของตนเป็นเวลาสองสามชั่วโมงเพื่อไม่ให้ผู้ใช้กังวล[4]. เป้าหมายหลักของผู้เขียนมัลแวร์คือการหลอกล่อให้ผู้ใช้คลิกโฆษณาและสร้างรายได้แบบจ่ายต่อคลิก[5].

แฮกเกอร์สามารถจัดการพฤติกรรมของแอดแวร์จากระยะไกลได้

ในระหว่างการวิจัย ผู้เชี่ยวชาญด้านไอทีสามารถสรุปขั้นตอนที่มัลแวร์ดำเนินการได้เมื่อมัลแวร์เข้าสู่ระบบ น่าแปลกที่มันเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลซึ่งควบคุมโดยอาชญากรทันทีหลังจากการติดตั้งและของานที่ควรจะเสร็จ

ในทำนองเดียวกัน แฮกเกอร์จะส่งรายการ URL โฆษณา, รหัสหน่วยโฆษณาของ Google และข้อความแจ้งเตือนซึ่งควรแสดงบนสมาร์ทโฟนเป้าหมายแก่มัลแวร์ ช่วยให้สามารถเข้าถึงอาชญากรเพื่อควบคุมว่าโฆษณาใดที่พวกเขาต้องการผลักดันผ่านแอปพลิเคชันที่สนับสนุนโฆษณาสำหรับผู้ที่ตกเป็นเหยื่อและควรทำอย่างไรในเชิงรุก