Общее количество установок некогда легитимного приложения Barcode Scanner перевалило за 10 миллионов. Приложение было разработано компанией LAVABIRD LTD и после вышедшего в декабре 2020 года обновления использовалось для доставки вредоносного содержимого на пользовательские устройства.
Вредоносное поведение заключалось в автоматическом запуске браузера без какого-либо взаимодействия с пользователем и рекламе других, потенциально вредоносных приложений.
Исследователь вредоносного ПО из Malwarebytes, Натан Коллиер (Nathan Collier) рассказал подробности инцидента:
Многие пользователи устанавливали данное приложение на свои мобильные устройства в течение длительного времени. Например, у одного из пользователей оно было установлено в течение нескольких лет.
Затем, после декабрьского обновления, сканер штрих-кодов внезапно превратился из простого сканера в настоящий зловред!
Мы проверили приложение и убедились, что оно подписано тем же цифровым сертификатом, что и предыдущие безопасные версии.
Из-за злонамеренного поведения, классификация приложения была сменена с первоначальной категории Adware до Trojan, а именно Android/Trojan.HiddenAds.AdQR.
Несмотря на то, что это не первый случай обнаружения вредоносного кода в приложениях Android, такие инциденты обычно связаны с использованием сторонних пакетов разработки программного обеспечения (SDK), используемых бесплатными версиями приложений для отображения рекламы с целью монетизации.
Однако, в данном конкретном случае обфусцированный и подписанный вредоносный код был упакован вместе с приложением и моментально был установлен на устройства более 10 миллионов пользователей.
Разработчик антивируса Malwarebytes для Android сообщил о своей находке Google, и тот в свою очередь уже удалил приложение LAVABIRD Barcode Scanner из Google Play. Приложение было доступно по ссылке:
https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner
Несмотря на это, миллионы устройств с установленным приложением могут продолжать отображать нежелательную рекламу для ничего не подозревающих пользователей.
Угрозы безопасности
• Доверяете бесплатным VPN? Утекли данные 21 миллиона пользователей VPN-сервисов
• Популярное приложение Android поставляло вредоносное содержимое миллионам пользователей
• Повторные взломы форума IObit: Злоумышленники решили поиздеваться
• Malwarebytes был взломан хакерами, которые атаковали SolarWinds
• Форум IObit взломан с целью распространения вредоносного ПО
• Баг? Нет. Telegram раскрывает точное местоположение своих пользователей