悪意のあるAndroidQRリーダーアプリが50万回以上ダウンロードされた

セキュリティ研究者は、新しいAndroidマルウェア株がGooglePlayストアを悩ませていることを発見しました. 公開された情報によると、ウイルスの50万回以上のダウンロードが開始されました. ペイロード配信メカニズムとして切断されるターゲットアプリケーションはQRリーダーです.

QRリーダーで識別されたAndroidマルウェア

コンピュータセキュリティの研究者は、別の危険な感染を明らかにしました. リリースされたレポートによると、多数のマルウェアAndroidQRアプリが新しい脅威に感染しています. データは、感染したアプリが50万回以上ダウンロードされたことを示しています. これは、マルウェアがGoogle Playプロテクト対策を回避できたため、Androidプラットフォームの重大な脆弱性と見なされています.

犯罪者は、正規のアプリに感染したり、ウイルスコードを使用して偽のアプリを作成したりするソーシャルエンジニアリングの戦術を使用しました。. A 部分的 影響を受けるアプリのリストには、次のエントリが含まれています:

• QRコード/バーコード
• スマートコンパス
• QRコード無料スキャン
• QR & バーコードスキャナ

QRリーダーだけでなく、マルウェアコードもスマートコンパスアプリで識別されています. マルウェアに割り当てられた名前は Andr / HiddnAd-AJ. 専門家は、さまざまなアプリにバンドルされているいくつかの異なるバージョンを特定しました.

分析中の悪意のあるAndroidアプリ

分析の結果、Androidアプリに含まれるマルウェアは、 ステルス保護 機構. これは、起動を数時間遅らせることで行われ、一般的なウイルスのシグネチャと動作の一部がシステムまたはインストールされているセキュリティアプリによって検出されないようにします。. 制限時間が終了すると、実際のマルウェア感染が始まります. 脅威の主な目的は、一連の迷惑なスパムメッセージを生成することであるようです。. これは、ユーザーをハッカーが制御するページにリダイレクトするために、オペレーターがインストールされたソフトウェアを変更する従来のブラウザーハイジャッカーと同じように機能します。.

悪意のあるAndroidアプリは、同じメッセージでプッシュ通知を送信するなど、さまざまな脅威につながる可能性があります. この戦術は、ユーザーを操作して危険な要素と対話させるために行われます。. 分析により、マルウェアのAndroidアプリが起動されるたびに ネットワーク接続 ハッカーが制御するサーバーで. 手の込んだ 構成ファイル 感染したマシンごとに生成され、関連するローカルインスタンスに送信されます. 含まれるデータは以下の値のリストです:

• 特定のマシンのGoogle広告ユニットID.
• プッシュされたアドバタイズメントを形成する事前定義されたリンクのリスト.
• アイコンのリスト, 表示された広告キャンペーンのメッセージとハイパーリンク.
• 次のネットワーク接続が確立されるまでの事前定義された遅延.

次のネットワーク接続が確立されるまでの事前定義された遅延. 感染が成功すると、フルスクリーン広告が殺到します。, Webページとプッシュ通知メッセージ.

このような脅威の存在は、他の種類のデバイス感染を引き起こすために悪用される可能性があるため、特に憂慮すべきものです。. これは、次のようなアクションに及ぶ可能性があります 追加のペイロード配信 に システムの変更. 更新されたバージョンには、 トロイの木馬モジュール これを使用して、被害者をリアルタイムでスパイしたり、いつでもデバイスの制御を追い越したりすることができます。.

セキュリティの専門家がGoogleに通知し、特定されたすべてのアプリがPlayストアからすぐに削除されました. このようなインシデントはまれに発生し、プラットフォームに組み込まれているセキュリティメカニズムがウイルスファイルを識別できなかった例を示しています。. それでも、研究者は、Androidユーザーに、このような状況を動的に処理できるプラットフォームを信頼するようにアドバイスし続けています.