Den populære PlayStore Barcode Scanner-applikation inficerede 10 millioner brugere

Cirka ti millioner Android-brugere er blevet inficeret med den populære app til stregkodelæsning "Stregkodescanner", efter at den legitime applikation blev til malware. Softwarens ondsindede opførsel blev afsløret af forskere fra sikkerhedsfirmaet Malwarebytes, der rapporterede det til Google, og som et resultat blev applikationen fjernet fra onlinebutikken.

Det var i slutningen af ​​december sidste år, hvor efterforskere begyndte at modtage opkald om hjælp. Brugere af Android-enheder. Virksomheden hævder, at disse brugere så annoncer dukke op ud af ingenting gennem dine standardbrowsere. Det mærkeligste ved epidemien til annoncevisning er, at ingen af ​​dem for nylig havde installeret apps. Imidlertid kom alle de apps, de havde installeret siden da, direkte fra Google Play.

Pop-up-annoncer fortsatte, indtil et af ofrene for malware opdagede, at annoncerne kom fra en langinstalleret applikation kaldet Barcode Scanner.

Forskerne tilføjede hurtigt detektion, efter at brugeren varslet og Google fjernede appen fra butikken. Mange brugere har brugt appen på deres mobile enheder i lang tid, inklusive en bruger, der havde den installeret i årevis.

Efter en opdatering udgivet i december, ansøgningen Stregkodescanner gik fra, hvad det skulle være- tilbød en QR-kodelæser og stregkodegenerator, et nyttigt værktøj til mobile enheder at fuldføre malware. Selvom Google allerede har fjernet denne applikation, mener sikkerhedsfirmaet, at opdateringen fandt sted den 4. december 2020, som ændrede applikationens funktioner til at sende meddelelser uden forudgående varsel.

Mens mange udviklere integrerer annoncer i deres software for at kunne tilbyde gratis versioner, og betalte apps simpelthen ikke viser annoncer, er ændringen i de senere år sket natten over. Nyttige ressourceanvendelser til adware bliver stadig mere almindelige.

”Annoncerings-SDK'er kan komme fra forskellige tredjepartsvirksomheder og være en indtægtskilde for applikationsudvikleren. Det er en win-win-situation, ”bemærkede Malwarebytes. ”Brugere får en gratis app, mens app-udviklere og annonce-SDK-udviklere får betalt. Men nu og da kan et Ads SDK-firma ændre noget, og annoncerne kan begynde at blive lidt aggressive.

Nogle gange kan tredjeparter deltage i "aggressiv" reklamepraksis, men dette er ikke tilfældet med denne stregkodelæser. I stedet siger forskerne, at den ondsindede kode var inkluderet i decemberopdateringen og stort set skjult for at undgå afsløring. Opdateringen blev også underskrevet med det samme sikkerhedscertifikat, der blev brugt i tidligere versioner af Android-applikationen.

”Nej, i tilfælde af stregkodescanner blev der tilføjet ondsindet kode, der ikke var til stede i tidligere versioner af applikationen. Den tilføjede kode brugte også stærk tilsløring for at undgå detektion. For at kontrollere, at det kommer fra den samme applikationsudvikler, bekræftede vi, at det var underskrevet af det samme digitale certifikat som de tidligere rene versioner ”.

Det faktum, at Google har fjernet applikationen fra Google Play, betyder ikke, at applikationen forsvinder fra de berørte enheder. Dette er nøjagtigt det problem, som brugere, der har installeret stregkodescanner, oplever. For at afslutte det skal brugerne afinstallere den nu ondsindede app manuelt.

Forskere kunne ikke bestemme nøjagtigt, hvor længe stregkodelæser-appen havde været en legitim app i Google Play-butikken, før den blev skadelig.

”Baseret på det store antal installationer og brugerfeedback mener vi, at det har eksisteret i årevis. Det er skræmmende, at med kun en opdatering kan en app blive skadelig, mens den stadig er under radaren fra Google Play Protect. Det pusler mig, at en appudvikler med en populær app kan gøre det til malware. Var det planen fra starten af ​​at have en applikation inaktiv, og ventede på at ankomme efter at have nået popularitet? Vi ved aldrig, ”sagde efterforskernes rapport.

kilde: https://blog.malwarebytes.com/