После одного обновления популярное приложение для сканирования штрих-кода в Google Play превратилось в вредоносное ПО и смогло захватить до 10 миллионов устройств.
Сканер штрих-кода Lavabird Ltd. — приложение для Android, которое уже много лет доступно в официальном репозитории приложений Google. Приложение, насчитывающее более 10 миллионов установок, предлагало считыватель QR-кода и генератор штрих-кода — полезную утилиту для мобильных устройств.
Мобильное приложение оказалось законным, заслуживающим доверия программным обеспечением, и многие пользователи устанавливали его много лет назад без каких-либо проблем — до недавнего времени.
Согласно Malwarebytes, в последнее время пользователи начали жаловаться на неожиданное появление рекламы на их устройствах Android. Нередко нежелательные программы, реклама и вредоносная реклама связаны с установкой новых приложений, но в этом примере пользователи сообщили, что в последнее время они ничего не устанавливали.
Проведя расследование, исследователи определили виновника сканера штрих-кода.
Malwarebytes
Обновление программного обеспечения, выпущенное примерно 4 декабря 2020 года, изменило функции приложения, чтобы показывать рекламу без предупреждения. Хотя многие разработчики внедряют рекламу в свое программное обеспечение, чтобы иметь возможность предлагать бесплатные версии — а в платных приложениях просто не отображается реклама — в последние годы все более распространенным становится перенос приложений с полезных ресурсов на рекламное ПО.
«Рекламные SDK могут поступать от различных сторонних компаний и обеспечивать источник дохода для разработчика приложений. Это беспроигрышная ситуация для всех», — отмечает Malwarebytes. «Пользователи получают бесплатное приложение, а разработчики приложений и разработчики рекламных SDK получают деньги. Но время от времени компания, занимающаяся рекламным SDK, может что-то менять на своей стороне, и реклама может стать немного агрессивной».
Иногда «агрессивные» рекламные приемы могут быть виной сторонних разработчиков SDK, но это не тот случай, когда дело касается сканера штрих-кода. Вместо этого исследователи говорят, что вредоносный код был добавлен в декабрьское обновление и был тщательно скрыт, чтобы избежать обнаружения.
Обновление также было подписано тем же сертификатом безопасности, который использовался в прошлых чистых версиях приложения Android.
Malwarebytes сообщил о своих выводах в Google, и технический гигант удалил приложение из Google Play. Однако это не означает, что приложение исчезнет с затронутых устройств, и поэтому пользователям необходимо вручную удалить теперь вредоносное приложение.
Преобразование чистых SDK во вредоносные пакеты — лишь один из способов избежать защиты Google Play, с проверкой времени, длительным временем отображения, компрометацией библиотек с открытым исходным кодом, используемых приложением, и динамической загрузкой, которые также упоминаются как потенциальные способы для злоумышленников, чтобы взломать ваше мобильное устройство.
Еще один интересный метод, обнаруженный Trend Micro, — это проверка датчика движения. В 2019 году было обнаружено, что служебные приложения Android содержат банковского трояна Anubis, который запускается только после того, как пользователь перемещает свой телефон.
ZDNet обратился к разработчику и обновит его, если мы получим ответ.
Предыдущее и связанное с ним покрытие
Есть подсказка? Свяжитесь с нами через WhatsApp | Сигнал на +447713 025 499 или более на Keybase: charlie0
