Gần mười triệu người dùng Android đã bị nhiễm ứng dụng đọc mã vạch phổ biến "Máy quét mã vạch", sau khi ứng dụng hợp pháp biến thành phần mềm độc hại. Các nhà nghiên cứu của công ty bảo mật Malwarebytes đã báo cáo hành vi độc hại của phần mềm này cho Google và kết quả là ứng dụng đã bị xóa khỏi cửa hàng trực tuyến.
Đó là vào cuối tháng XNUMX năm ngoái khi các nhà điều tra bắt đầu nhận được các cuộc gọi giúp đỡ. Người dùng thiết bị Android. Công ty tuyên bố những người dùng đó đã nhìn thấy quảng cáo xuất hiện từ hư không thông qua các trình duyệt mặc định của bạn. Điều kỳ lạ nhất về đại dịch phân phát quảng cáo là không ai trong số họ đã cài đặt ứng dụng gần đây. Tuy nhiên, tất cả các ứng dụng họ đã cài đặt kể từ đó đến trực tiếp từ Google Play.
Quảng cáo bật lên tiếp tục cho đến khi một trong những nạn nhân của phần mềm độc hại phát hiện ra rằng quảng cáo đến từ một ứng dụng được cài đặt từ lâu có tên là Máy quét mã vạch.
Các nhà nghiên cứu đã nhanh chóng bổ sung tính năng phát hiện, sau khi người dùng cảnh báo và Google đã xóa ứng dụng khỏi cửa hàng. Nhiều người dùng đã sử dụng ứng dụng trên thiết bị di động của họ trong một thời gian dài, bao gồm cả một người dùng đã cài đặt ứng dụng này trong nhiều năm.
Sau khi bản cập nhật được phát hành vào tháng XNUMX, ứng dụng Máy quét mã vạch đã đi từ những gì nó phải là- được cung cấp đầu đọc mã QR và trình tạo mã vạch, một tiện ích hữu ích cho các thiết bị di động, để hoàn thành phần mềm độc hại. Mặc dù Google đã gỡ bỏ ứng dụng này nhưng công ty bảo mật cho rằng bản cập nhật diễn ra vào ngày 4 tháng 2020 năm XNUMX đã làm thay đổi các chức năng của ứng dụng để gửi thông báo mà không cần thông báo.
Trong khi nhiều nhà phát triển kết hợp quảng cáo vào phần mềm của họ để cung cấp các phiên bản miễn phí và các ứng dụng trả phí chỉ đơn giản là không hiển thị quảng cáo, trong những năm gần đây, sự thay đổi đã xảy ra chỉ sau một đêm. Các ứng dụng tài nguyên hữu ích cho phần mềm quảng cáo đang ngày càng trở nên phổ biến hơn.
“SDK quảng cáo có thể đến từ các công ty bên thứ ba khác nhau và là nguồn thu nhập cho nhà phát triển ứng dụng. Đó là một tình huống đôi bên cùng có lợi, ”Malwarebytes lưu ý. “Người dùng nhận được ứng dụng miễn phí, trong khi nhà phát triển ứng dụng và nhà phát triển SDK quảng cáo được trả tiền. Nhưng thỉnh thoảng, một công ty SDK quảng cáo có thể thay đổi điều gì đó và quảng cáo có thể bắt đầu trở nên quá khích.
Đôi khi các bên thứ ba có thể tham gia vào các hoạt động quảng cáo "tích cực", nhưng đây không phải là trường hợp với máy đọc mã vạch này. Thay vào đó, các nhà nghiên cứu cho biết mã độc này đã được đưa vào bản cập nhật tháng XNUMX và được che giấu phần lớn để tránh bị phát hiện. Bản cập nhật cũng được ký bằng cùng một chứng chỉ bảo mật đã được sử dụng trong các phiên bản trước của ứng dụng Android.
“Không, trong trường hợp của Máy quét mã vạch, mã độc hại đã được thêm vào mà không có trong các phiên bản trước của ứng dụng. Ngoài ra, mã được thêm vào đã sử dụng tính năng làm xáo trộn mạnh để tránh bị phát hiện. Để xác minh rằng nó đến từ cùng một nhà phát triển ứng dụng, chúng tôi xác nhận rằng nó đã được ký bằng chứng chỉ số giống như các phiên bản sạch trước đó ”.
Việc Google xóa ứng dụng khỏi Google Play không có nghĩa là ứng dụng đó sẽ biến mất khỏi các thiết bị bị ảnh hưởng. Đây chính xác là sự cố mà người dùng đã cài đặt Máy quét mã vạch gặp phải. Để chấm dứt vấn đề này, người dùng phải gỡ cài đặt thủ công ứng dụng độc hại.
Các nhà nghiên cứu không thể xác định chính xác ứng dụng đọc mã vạch đã là một ứng dụng hợp pháp trên cửa hàng Google Play trong bao lâu trước khi nó trở nên độc hại.
“Dựa trên số lượng lớn lượt cài đặt và phản hồi của người dùng, chúng tôi tin rằng nó đã tồn tại trong nhiều năm. Thật đáng sợ khi chỉ với một bản cập nhật, một ứng dụng có thể trở nên độc hại trong khi vẫn nằm trong tầm kiểm soát của Google Play Protect. Tôi khó hiểu rằng một nhà phát triển ứng dụng với một ứng dụng phổ biến có thể biến nó thành phần mềm độc hại. Có phải kế hoạch ngay từ đầu là để một ứng dụng không hoạt động, chờ đến khi trở nên phổ biến không? Tôi đoán chúng ta sẽ không bao giờ biết được, ”báo cáo của các nhà điều tra cho biết.
Fuente: https://blog.malwarebytes.com/
Ngay bây giờ, nếu tôi tìm kiếm Barcode Play Store, nó sẽ hiển thị cho tôi hai ứng dụng "Máy quét mã vạch" từ các nhà phát triển khác nhau. Tác giả phải được chỉ định vì không thể xác định ứng dụng theo tên.
Vâng, được rồi, tôi đã gửi quảng cáo, theo văn bản: không quá khích. Ứng dụng nào không?
Khi tôi cài đặt một ứng dụng, tôi luôn kiểm tra xem nó có mang lại quảng cáo hay không và các quyền trong «Thông tin. của ứng dụng ».
Có vẻ như bạn không thể đọc vì bài báo nói rất rõ ràng. Một điều là quảng cáo, như trong hầu hết các ứng dụng, thường không xâm nhập và xuất hiện theo thời gian và một điều rất khác là những gì họ nói trong bài báo, trở thành quảng cáo khá xâm nhập, đến mức được mô tả chính xác vì điều đó dư thừa của công.
"Đôi khi các bên thứ ba có thể thực hiện các hoạt động quảng cáo 'tích cực', nhưng đây không phải là trường hợp của máy đọc mã vạch này."
Và nó tiếp tục:
"Thay vào đó, các nhà nghiên cứu nói rằng mã độc đã được đưa vào bản cập nhật tháng XNUMX và được che giấu phần lớn để tránh bị phát hiện."
Vấn đề là gì.
Cảm ơn vì thời gian của bạn ... ngay cả khi nó vô ích.