แอปพลิเคชั่นเครื่องสแกนบาร์โค้ด PlayStore ยอดนิยมติดไวรัสผู้ใช้ 10 ล้านคน

มีผู้ใช้ Android ประมาณสิบล้านคนติดเชื้อ แอปอ่านบาร์โค้ดยอดนิยม "เครื่องสแกนบาร์โค้ด" หลังจากแอปพลิเคชันที่ถูกต้องกลายเป็นมัลแวร์ พฤติกรรมที่เป็นอันตรายของซอฟต์แวร์ถูกเปิดเผยโดยนักวิจัยจาก Malwarebytes บริษัท รักษาความปลอดภัยซึ่งรายงานไปยัง Google และส่งผลให้แอปพลิเคชันถูกลบออกจากร้านค้าออนไลน์

เมื่อปลายเดือนธันวาคมปีที่แล้วเมื่อเจ้าหน้าที่สืบสวนเริ่มรับโทรศัพท์เพื่อขอความช่วยเหลือ ผู้ใช้อุปกรณ์ Android บริษัท อ้างว่าผู้ใช้เหล่านั้นเห็นโฆษณาโผล่ขึ้นมาจากที่ไหนเลย ผ่านเบราว์เซอร์เริ่มต้นของคุณ สิ่งที่แปลกที่สุดเกี่ยวกับการแพร่ระบาดของการแสดงโฆษณาคือไม่มีแอปใดที่เพิ่งติดตั้ง อย่างไรก็ตามแอปทั้งหมดที่พวกเขาติดตั้งตั้งแต่นั้นมานั้นมาจาก Google Play โดยตรง

โฆษณาป๊อปอัปยังคงดำเนินต่อไปจนกระทั่งเหยื่อมัลแวร์รายหนึ่งพบว่าโฆษณาดังกล่าวมาจากแอปพลิเคชันที่ติดตั้งมานานชื่อเครื่องสแกนบาร์โค้ด

นักวิจัยได้เพิ่มการตรวจจับอย่างรวดเร็วหลังจากที่ผู้ใช้แจ้งเตือนและ Google ลบแอปออกจากสโตร์. ผู้ใช้หลายคนใช้แอปบนอุปกรณ์เคลื่อนที่มาเป็นเวลานานรวมถึงผู้ใช้รายหนึ่งที่ติดตั้งแอปมานานหลายปี

หลังจากการอัปเดตที่เผยแพร่ในเดือนธันวาคมแอปพลิเคชัน เครื่องสแกนบาร์โค้ดเปลี่ยนไปจากที่ควรจะเป็น- นำเสนอเครื่องอ่านรหัส QR และเครื่องกำเนิดบาร์โค้ดซึ่งเป็นยูทิลิตี้ที่มีประโยชน์สำหรับอุปกรณ์มือถือ เพื่อทำให้มัลแวร์สมบูรณ์ แม้ว่า Google จะลบแอปพลิเคชันนี้ออกไปแล้ว แต่ บริษัท รักษาความปลอดภัยเชื่อว่าการอัปเดตเกิดขึ้นในวันที่ 4 ธันวาคม 2020 ซึ่งเปลี่ยนฟังก์ชันของแอปพลิเคชันให้ส่งประกาศโดยไม่แจ้งให้ทราบล่วงหน้า

ในขณะที่นักพัฒนาหลายรายรวมโฆษณาไว้ในซอฟต์แวร์เพื่อเสนอเวอร์ชันฟรีและแอปที่ต้องซื้อก็ไม่แสดงโฆษณา แต่ในช่วงไม่กี่ปีที่ผ่านมาการเปลี่ยนแปลงเกิดขึ้นในชั่วข้ามคืน แอปพลิเคชันทรัพยากรที่เป็นประโยชน์สำหรับแอดแวร์กำลังเป็นที่นิยมมากขึ้นเรื่อย ๆ

“ SDK โฆษณาอาจมาจาก บริษัท บุคคลที่สามหลายแห่งและเป็นแหล่งรายได้สำหรับนักพัฒนาแอปพลิเคชัน มันเป็นสถานการณ์ที่ชนะ” Malwarebytes กล่าว “ ผู้ใช้ได้รับแอปฟรีในขณะที่นักพัฒนาแอปและนักพัฒนา SDK โฆษณาจะได้รับเงิน แต่ในบางครั้ง บริษัท Ads SDK อาจเปลี่ยนแปลงบางสิ่งบางอย่างและโฆษณาอาจเริ่มก้าวร้าวเล็กน้อย

บางครั้งบุคคลที่สามอาจมีส่วนร่วมในแนวทางปฏิบัติด้านการโฆษณาที่ "ก้าวร้าว" แต่นี่ไม่ใช่กรณีของเครื่องอ่านบาร์โค้ดนี้ แต่นักวิจัยกล่าวว่าโค้ดที่เป็นอันตรายนั้นรวมอยู่ในการอัปเดตเมื่อเดือนธันวาคมและส่วนใหญ่ถูกปกปิดเพื่อหลีกเลี่ยงการตรวจจับ การอัปเดตนี้ได้รับการลงนามด้วยใบรับรองความปลอดภัยเดียวกันกับที่ใช้ในแอปพลิเคชัน Android เวอร์ชันก่อนหน้า

“ ไม่ในกรณีของเครื่องสแกนบาร์โค้ดมีการเพิ่มรหัสที่เป็นอันตรายซึ่งไม่มีอยู่ในแอปพลิเคชันเวอร์ชันก่อนหน้า นอกจากนี้รหัสที่เพิ่มยังใช้การทำให้สับสนอย่างมากเพื่อหลีกเลี่ยงการตรวจจับ ในการตรวจสอบว่ามาจากผู้พัฒนาแอปพลิเคชันเดียวกันเรายืนยันว่าใบรับรองนั้นได้รับการลงนามโดยใบรับรองดิจิทัลเดียวกันกับเวอร์ชันใหม่ทั้งหมด "

การที่ Google ลบแอปพลิเคชันออกจาก Google Play ไม่ได้หมายความว่าแอปพลิเคชันจะหายไปจากอุปกรณ์ที่ได้รับผลกระทบ. นี่เป็นปัญหาที่ผู้ใช้ที่ติดตั้งเครื่องสแกนบาร์โค้ดประสบ ในการยุติผู้ใช้ต้องถอนการติดตั้งแอปที่เป็นอันตรายในขณะนี้ด้วยตนเอง

นักวิจัยไม่สามารถระบุได้แน่ชัดว่าแอปเครื่องอ่านบาร์โค้ดเป็นแอปที่ถูกต้องบน Google Play Store นานแค่ไหนก่อนที่แอปจะกลายเป็นอันตราย

“ จากการติดตั้งจำนวนมากและความคิดเห็นของผู้ใช้เราเชื่อว่าการติดตั้งเป็นเวลาหลายปีแล้ว มันน่ากลัวที่การอัปเดตเพียงครั้งเดียวแอปสามารถเปลี่ยนเป็นอันตรายได้ในขณะที่ยังอยู่ภายใต้เรดาร์ของ Google Play Protect มันทำให้ฉันสงสัยว่านักพัฒนาแอพที่มีแอพยอดนิยมสามารถเปลี่ยนเป็นมัลแวร์ได้ เป็นแผนตั้งแต่เริ่มต้นที่จะมีแอปพลิเคชันอยู่รอที่จะมาถึงหลังจากได้รับความนิยมหรือไม่? ฉันเดาว่าเราจะไม่มีทางรู้” รายงานของนักวิจัยกล่าว

Fuente: https://blog.malwarebytes.com/