超过1000万次下载的Android条码扫描器感染用户

2021-02-09 21:13:48

一台良性的条形码扫描仪从Google Play上下载了超过一千万次,但由于升级而使它陷入了黑暗面,这促使搜索和广告巨头将其删除。

条形码扫描仪是Google官方应用程序存储库中提供的数十种此类应用程序之一,它的诞生始于合法产品。然后在12月下旬,安全公司Malw​​arebytes的研究人员开始收到来自客户的邮件,抱怨他们的广告在默认浏览器中突然打开。

最初,Malwarebytes移动恶意软件研究人员Nathan Collier感到困惑。最近没有客户安装任何应用程序,他们已经安装的所有应用程序都来自Play,尽管该市场承认恶意应用程序已有很长的历史,但仍比大多数第三方站点更安全。最终,科利尔确定了罪魁祸首为条形码扫描仪。研究人员说,去年12月发布的更新中包含负责轰炸广告的代码。

“令人恐惧的是,通过一次更新,一个应用程序可能会在受到Google Play Protect的监视时变成恶意软件,”科利尔写道。 “令我感到困惑的是,拥有流行应用程序的应用程序开发人员会将其转变为恶意软件。这个程序是否一直处于休眠状态,等待应用程序流行后才开始罢工?”

科利尔说,广告软件通常是第三方软件开发工具包的结果,开发人员可以使用这些工具从免费的应用程序中获利。一些开发人员不知道的SDK最终会突破极限。由于Collier能够从代码本身和对其进行数字签名的数字证书中建立代码,因此恶意行为是开发人员所做更改的结果。

不可以,对于条形码扫描仪,已添加了恶意代码,而该恶意代码不在该应用程序的早期版本中。此外,添加的代码使用了严重的混淆以避免检测。为了验证这是来自同一应用程序开发者,我们确认它已经由与以前的原始版本相同的数字证书签名。由于其恶意意图,我们直接检测到Android / Trojan.HiddenAds.AdQR,从而跳过了原来的广告软件检测类别,直接进入了Trojan。

在Collier私下通知公司后,Google删除了该应用。但是,到目前为止,Google尚未使用其Google Play保护工具从已安装该应用的设备上删除该应用。这意味着用户将不得不自行删除该应用程序。

Google代表拒绝透露保护功能是否删除了恶意条形码扫描仪。 Ars还通过电子邮件发送了该应用的开发人员,以征询对此贴的评论,但到目前为止尚未收到任何回复。

任何在Android设备上安装了条形码扫描仪的人都应对其进行检查,以查看其是否属于Collier。 MD5哈希摘要为A922F91BAF324FA07B3C40846EBBFE30,程序包名称为com.qrcodescanner.barcodescanner。请勿将恶意条形码扫描仪与此处的一个或其他同名应用程序混淆。

有关Android应用的常规建议在此处适用。人们只有在提供真正的利益时才应安装这些应用程序,然后才应阅读用户的评论和所需的权限后才进行安装。超过六个月未使用已安装应用的人也应强烈考虑删除该应用。不幸的是,在这种情况下,遵循此建议将无法保护许多条形码扫描仪用户。

使用知名公司的恶意软件扫描程序也不错。 Malwarebytes应用程序免费提供应用程序扫描。对于许多用户而言,每月运行一次或两次是一个好主意。