Общее количество установок некогда легитимного приложения Barcode Scanner перевалило за 10 миллионов. Приложение было разработано компанией LAVABIRD LTD и после вышедшего в декабре 2020 года обновления использовалось для доставки вредоносного содержимого на пользовательские устройства.
Вредоносное поведение заключалось в автоматическом запуске браузера без какого-либо взаимодействия с пользователем и рекламе других, потенциально вредоносных приложений.
Исследователь вредоносного ПО из Malwarebytes, Натан Коллиер (Nathan Collier) рассказал подробности инцидента:
Многие пользователи устанавливали данное приложение на свои мобильные устройства в течение длительного времени. Например, у одного из пользователей оно было установлено в течение нескольких лет.
Затем, после декабрьского обновления, сканер штрих-кодов внезапно превратился из простого сканера в настоящий зловред!
Мы проверили приложение и убедились, что оно подписано тем же цифровым сертификатом, что и предыдущие безопасные версии.
Из-за злонамеренного поведения, классификация приложения была сменена с первоначальной категории Adware до Trojan, а именно Android/Trojan.HiddenAds.AdQR.
Несмотря на то, что это не первый случай обнаружения вредоносного кода в приложениях Android, такие инциденты обычно связаны с использованием сторонних пакетов разработки программного обеспечения (SDK), используемых бесплатными версиями приложений для отображения рекламы с целью монетизации.
Однако, в данном конкретном случае обфусцированный и подписанный вредоносный код был упакован вместе с приложением и моментально был установлен на устройства более 10 миллионов пользователей.
Разработчик антивируса Malwarebytes для Android сообщил о своей находке Google, и тот в свою очередь уже удалил приложение LAVABIRD Barcode Scanner из Google Play. Приложение было доступно по ссылке:
https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner
Несмотря на это, миллионы устройств с установленным приложением могут продолжать отображать нежелательную рекламу для ничего не подозревающих пользователей.
Угрозы безопасности
• В Google Play обнаружено 239 вредоносных приложений с 40 миллионами скачиваний
• На маркетплейсе Microsoft VS Code обнаружено расширение-вымогатель, созданное с помощью ИИ
• Google предупреждает: ИИ-вредоносы обходят антивирусы, создают дипфейки и автоматизируют фишинговые атаки
• CISA: уязвимость в Linux используется в атаках с вымогательским ПО
• Новая волна атак: инфостилер RedTiger нацелился на пользователей Discord
• TP-Link предупреждает о критической уязвимости внедрения команд в шлюзах Omada