Популарна апликација ПлаиСторе Барцоде Сцаннер заразила је 10 милиона корисника

Заражено је око десет милиона Андроид корисника популарна апликација за читање бар-кода „Скенер баркода“, након што се легитимна апликација претворила у злонамерни софтвер. Злонамерно понашање софтвера разоткрили су истраживачи из заштитарске фирме Малваребитес, који су то пријавили Гоогле-у и као резултат тога апликација је уклоњена из Интернет продавнице.

Било је то крајем прошлог децембра када су истражитељи почели да добијају позиве за помоћ. Корисници Андроид уређаја. Компанија тврди да су ти корисници видели ниоткуда огласе преко заданих прегледача. Најчуднија ствар у вези са епидемијом приказивања огласа је да нико од њих није недавно инсталирао апликације. Међутим, све апликације које су од тада инсталирали долазиле су директно са Гоогле Плаи-а.

Искачући огласи наставили су се све док једна од жртава злонамерног софтвера није открила да огласи долазе из давно инсталиране апликације зване Скенер баркода.

Истраживачи су брзо додали откривање, након што је корисник упозорио и Гоогле је уклонио апликацију из продавнице. Многи корисници већ дуго користе апликацију на својим мобилним уређајима, укључујући једног корисника који ју је годинама инсталирао.

Након ажурирања објављеног у децембру, апликација Скенер баркодова кренуо је од онога што би требало да буде- понудио читач КР кода и генератор бар-кода, користан услужни програм за мобилне уређаје, да бисте довршили малвер. Иако је Гоогле већ уклонио ову апликацију, безбедносна компанија верује да се ажурирање догодило 4. децембра 2020. године, што је променило функције апликације за слање обавештења без претходног обавештења.

Иако многи програмери укључују огласе у свој софтвер како би понудили бесплатне верзије, а плаћене апликације једноставно не приказују огласе, последњих година промена се догодила преко ноћи. Корисни ресурси апликација за адваре постају све чешћи.

„СДК за оглашавање могу долазити од различитих независних компанија и бити извор зараде програмеру апликација. То је вин-вин ситуација “, приметио је Малваребитес. „Корисници добијају бесплатну апликацију, док програмери апликација и програмери СДК за огласе добијају плату. Али свако мало, компанија Адс СДК може нешто променити и огласи могу почети да постају помало агресивни.

Понекад се треће стране могу укључити у „агресивне“ праксе оглашавања, али то није случај са овим читачем бар-кодова. Уместо тога, истраживачи кажу да је злонамерни код укључен у децембарско ажурирање и углавном скривен како би се избегло откривање. Ажурирање је такође потписано истим безбедносним сертификатом који је коришћен у претходним верзијама Андроид апликације.

„Не, у случају Скенера баркода додан је злонамерни код који није био присутан у претходним верзијама апликације. Такође, додани код је користио јаку замућеност да би се избегло откривање. Да бисмо верификовали да потиче од истог програмера апликације, потврдили смо да је потписана истим дигиталним сертификатом као и претходне чисте верзије “.

Чињеница да је Гоогле уклонио апликацију са Гоогле Плаи-а не значи да ће апликација нестати са погођених уређаја. Управо је то проблем који имају корисници који су инсталирали скенер за баркод. Да би то учинили, корисници морају ручно да деинсталирају сада злонамерну апликацију.

Истраживачи нису могли тачно да утврде колико дуго је апликација за читање бар-кодова била легитимна апликација у Гоогле Плаи продавници пре него што је постала злонамерна.

„На основу великог броја инсталирања и повратних информација корисника, верујемо да постоји већ годинама. Застрашујуће је да се са само једним ажурирањем апликација може претворити у злонамерну док је и даље под радаром Гоогле Плаи Протецт. Збуњује ме да програмер апликација са популарном апликацијом може да је претвори у злонамерни софтвер. Да ли је то био план од почетка, да апликација не ради, чекајући да стигне након достизања популарности? Претпостављам да никада нећемо сазнати ”, наводи се у извештају истражитеља.

izvor: https://blog.malwarebytes.com/