Общее количество установок некогда легитимного приложения Barcode Scanner перевалило за 10 миллионов. Приложение было разработано компанией LAVABIRD LTD и после вышедшего в декабре 2020 года обновления использовалось для доставки вредоносного содержимого на пользовательские устройства.
Вредоносное поведение заключалось в автоматическом запуске браузера без какого-либо взаимодействия с пользователем и рекламе других, потенциально вредоносных приложений.
Исследователь вредоносного ПО из Malwarebytes, Натан Коллиер (Nathan Collier) рассказал подробности инцидента:
Многие пользователи устанавливали данное приложение на свои мобильные устройства в течение длительного времени. Например, у одного из пользователей оно было установлено в течение нескольких лет.
Затем, после декабрьского обновления, сканер штрих-кодов внезапно превратился из простого сканера в настоящий зловред!
Мы проверили приложение и убедились, что оно подписано тем же цифровым сертификатом, что и предыдущие безопасные версии.
Из-за злонамеренного поведения, классификация приложения была сменена с первоначальной категории Adware до Trojan, а именно Android/Trojan.HiddenAds.AdQR.
Несмотря на то, что это не первый случай обнаружения вредоносного кода в приложениях Android, такие инциденты обычно связаны с использованием сторонних пакетов разработки программного обеспечения (SDK), используемых бесплатными версиями приложений для отображения рекламы с целью монетизации.
Однако, в данном конкретном случае обфусцированный и подписанный вредоносный код был упакован вместе с приложением и моментально был установлен на устройства более 10 миллионов пользователей.
Разработчик антивируса Malwarebytes для Android сообщил о своей находке Google, и тот в свою очередь уже удалил приложение LAVABIRD Barcode Scanner из Google Play. Приложение было доступно по ссылке:
https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner
Несмотря на это, миллионы устройств с установленным приложением могут продолжать отображать нежелательную рекламу для ничего не подозревающих пользователей.
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов