Дослідники знайшли в Google Play пристрої для зчитування QR-кодів із вбудованим шкідливим програмним забезпеченням
Аналітики зловмисного програмного забезпечення з SophosLabs виявили вірус Android[1] напруга, яка знаходиться в оманливих утилітах АБО. Наразі антивірусні програми виявляють потік під назвою Andr/HiddnAd-AJ, який відноситься до програми, що підтримується рекламою, або також відомий як рекламне програмне забезпечення.
Шкідливе програмне забезпечення було розроблено для показу нескінченної реклами після встановлення зараженого додатка. За словами дослідників, ця шкідлива програма буде постійно відкривати випадкові вкладки з рекламою, надсилати посилання або відображати сповіщення з рекламним вмістом.
Експерти визначили шість додатків для сканування QR-кодів і одну, імовірно, під назвою «Розумний компас». Незважаючи на те, що аналітики повідомили Google Play про шкідливі програми, понад 500 000 користувачів завантажили їх до того, як вони були знято[2].
Шкідливе програмне забезпечення обійшло безпеку Google, зробивши його код звичайним
Під час аналізу дослідники виявили, що хакери використовували складні методи, щоб допомогти шкідливій програмі перевершити перевірку Play Protect. Сценарій зловмисного програмного забезпечення був розроблений так, щоб виглядати як невинна бібліотека програмування Android, додавши оманливу інформацію графіки підкомпонент[3]:
По-третє, рекламна частина кожної програми була вбудована в те, що на перший погляд виглядає як стандартну бібліотеку програмування Android, яка сама була вбудована в програму.
Додавши невинний на вигляд підкомпонент «графіки» до набору програм програмування, які ви Очікуйте, що в звичайній програмі Android рекламний механізм всередині програми фактично ховається на відкритому повітрі зір.
Крім того, шахраї запрограмували шкідливі програми QR-коду, щоб вони приховували свої функції, що підтримуються рекламою, на пару годин, щоб не викликати жодних занепокоєнь у користувачів.[4]. Основна мета авторів зловмисного програмного забезпечення — заманити користувачів натискати рекламу та отримувати дохід із оплатою за клік.[5].
Хакери можуть керувати поведінкою рекламного ПЗ віддалено
Під час дослідження ІТ-фахівцям вдалося узагальнити кроки, які зловмисне програмне забезпечення здійснило після того, як воно оселилося в системі. Як не дивно, він підключається до віддаленого сервера, який контролюється зловмисниками, відразу після встановлення і запитує завдання, які потрібно виконати.
Аналогічно, хакери надсилають зловмисному програмному забезпеченню список URL-адрес реклами, ідентифікатор рекламного блоку Google і тексти сповіщень, які мають відображатися на цільовому смартфоні. Це дає зловмисникам доступ до контролю, яку рекламу вони хочуть проштовхувати через рекламну програму для жертв, і наскільки агресивно це слід робити.