Google Play上的条形码扫描仪应用一次更新即可感染1000万用户

2021-02-09 20:29:13

去年12月下旬,我们开始收到论坛顾客的求救电话。顾客正在体验通过默认浏览器打开的广告。奇怪的是,他们最近都没有安装任何应用程序,而他们安装的应用程序来自Google Play商店。然后,一个使用用户名Anon00的顾客发现它来自长期安装的应用程序Barcode Scanner。从Google Play安装了超过10,000,000个应用的应用!我们迅速添加了检测,Google迅速从商店中删除了该应用。

许多顾客长时间在移动设备上安装了该应用程序(一个用户安装了数年)。然后突然之间,在12月进行更新后,条形码扫描仪从无辜的扫描仪变成了充满恶意软件的扫描仪!尽管Google已经撤消了此应用,但我们从缓存的Google Play网页中预测更新发生在2020年12月4日。

Google Play上的大多数免费应用程序都包含某种应用程序内广告。他们通过在应用程序代码中包含广告SDK来实现此目的。通常在应用开发结束时。付费版本根本不包含此SDK。

广告SDK可以来自各种第三方公司,并为应用程序开发人员提供收入来源。每个人都是双赢的。用户获得免费应用程序,而应用程序开发人员和广告SDK开发人员获得报酬。

但是广告SDK公司有时可能会改变自己的端倪,并且广告可能会开始变得有些侵略性。有时甚至将使用它的应用程序降落到“广告软件”类别中。发生这种情况时,不是应用程序开发人员在做,而是SDK公司。我解释这种方法是为了说条形码扫描仪不是这种情况。

不可以,对于条形码扫描仪,已添加了恶意代码,而该恶意代码不在该应用程序的早期版本中。此外,添加的代码使用了严重的混淆以避免检测。为了验证这是来自同一应用程序开发者,我们确认它已经由与以前的原始版本相同的数字证书签名。由于其恶意意图,我们直接检测到Android / Trojan.HiddenAds.AdQR,从而跳过了原来的广告软件检测类别,直接进入了Trojan。

恶意软件分析中最难的部分可能是复制用户的体验。 Barcode Scanner没问题,它在安装后几分钟内就付诸实践。观看下面的简短视频,了解其恶意行为:

从Google Play商店中删除应用程序并不一定意味着它将从受影响的移动设备中删除。除非事后Google Play保护将其删除,否则它将保留在设备上。这正是用户使用条形码扫描仪所经历的。因此,在他们安装适用于Android的恶意软件扫描程序(如Malwarebytes)或手动删除该应用程序之前,它将继续展示广告。

很难说出条形码扫描仪作为恶意软件在Google Play商店中作为合法应用已经存在了多久。基于大量的安装和用户反馈,我们怀疑它已经存在了很多年。令人恐惧的是,通过一次更新,一个应用程序可能会受到Google Play Protect的监视而变成恶意软件。令我感到困惑的是,拥有流行应用程序的应用程序开发人员会将其变成恶意软件。这是一直计划让应用处于休眠状态,等它流行后才罢工吗?我想我们永远不会知道。

根据用户的请求,我们希望提供Google Play链接,以指向相关的确切条形码扫描器:https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner

抱歉,原来没有提供。我们通常不提供不再存在的Google Play链接。但是,由于Google Play上还有许多其他合法的条形码和QR扫描仪,因此我们了解此信息如何帮助消除混乱。此外,确切的发布者是LavaBird LTD,如Google Play屏幕截图所示。我们还要进一步指出,该恶意软件的行为是在没有用户交互的情况下自行打开了默认的Web浏览器。这与主动浏览Web时发生的Web重定向不同。我们希望这能消除任何混乱。