Araştırmacılar, Google Play'de gömülü kötü amaçlı yazılım içeren QR okuyucuları buldu
SophosLabs'tan kötü amaçlı yazılım analistleri bir Android virüsü keşfetti[1] aldatıcı VEYA okuma yardımcı programlarında bulunan suş. Şu anda, virüsten koruma programları, reklam destekli uygulamaya atıfta bulunan veya reklam yazılımı olarak da bilinen Andr/HiddnAd-AJ adı altındaki iş parçacığını algılar.
Kötü amaçlı yazılım, virüslü uygulamanın yüklenmesinden sonra hiç bitmeyen reklamlar sunmak için tasarlandı. Araştırmacılara göre bu kötü niyetli program, reklamlarla rastgele sekmeler açacak, bağlantılar gönderecek veya reklam içeriği ile sürekli olarak bildirimler gösterecek.
Uzmanlar, altı QR kod tarama uygulaması ve birinin sözde "Akıllı Pusula" olarak adlandırıldığını belirledi. Her ne kadar analistler kötü amaçlı programlar hakkında Google Play'i bildirdiler, 500.000'den fazla kullanıcı bunları daha indirilmeden önce indirdi. aşağı çekilmiş[2].
Kötü amaçlı yazılım, kodunun normal görünmesini sağlayarak Google'ın güvenliğini atlattı
Analiz sırasında araştırmacılar, bilgisayar korsanlarının kötü amaçlı programın Play Protect tarafından yapılan doğrulamayı geçmesine yardımcı olmak için karmaşık teknikler kullandığını keşfetti. Kötü amaçlı yazılımın komut dosyası, aldatıcı özellikler ekleyerek masum bir Android programlama kitaplığı gibi görünecek şekilde tasarlanmıştır. grafik alt bileşen[3]:
Üçüncüsü, her uygulamanın reklam yazılımı kısmı, ilk bakışta uygulamanın içine yerleştirilmiş standart bir Android programlama kitaplığı gibi görünen şeye yerleştirildi.
Bir dizi programlama rutinine masum görünen bir "grafik" alt bileşeni ekleyerek, normal bir Android programında bulmayı umuyoruz, uygulamanın içindeki reklam yazılımı motoru etkili bir şekilde düz bir şekilde saklanıyor görünüş.
Ek olarak, dolandırıcılar, kullanıcılar tarafından herhangi bir endişe uyandırmamak için kötü amaçlı QR kod uygulamalarını birkaç saat boyunca reklam destekli özelliklerini gizleyecek şekilde programladılar.[4]. Kötü amaçlı yazılımın yazarlarının asıl amacı, kullanıcıları reklamlara tıklamaya ve tıklama başına ödeme geliri elde etmeye ikna etmektir.[5].
Bilgisayar korsanları, reklam yazılımının davranışını uzaktan yönetebilir
Araştırma sırasında BT uzmanları, kötü amaçlı yazılımın sisteme yerleştikten sonra attığı adımları özetlemeyi başardı. Şaşırtıcı bir şekilde, kurulumdan hemen sonra suçlular tarafından kontrol edilen uzak sunucuya bağlanır ve tamamlanması gereken görevleri sorar.
Benzer şekilde, bilgisayar korsanları, kötü amaçlı yazılıma, hedeflenen akıllı telefonda görüntülenmesi gereken reklam URL'lerinin, Google Reklam Birimi Kimliğinin ve bildirim metinlerinin bir listesini gönderir. Suçlulara, kurbanlar için reklam destekli uygulama aracılığıyla hangi reklamları göndermek istediklerini ve bunun ne kadar agresif bir şekilde yapılması gerektiğini kontrol etme erişimi sağlar.