拥有数百万下载量的扫描条形码App变成了流氓软件
608字
2021-02-13 12:40
30阅读
火星译客

谷歌Play下载量超过1000万次的良性条形码扫描app,被发现在接受了一次更新后变成了恶性软件。迫使这家搜索和广告巨头将其移除。

条形码扫描器是在谷歌官方软件库中的数十个同类型app之一,它最开始是一个合法产品。但在去年十二月,安全公司Malwarebytes的工作人员陆续收到来自用户的信息,抱怨他们的默认浏览器弹出了来源不明的广告。

Malwarebytes移动恶意软件研究人员内森·科利尔(Nathan Collier)起初很困惑。这些客户最近都没有安装任何软件,而且他们已经安装的软件都来自Play,尽管Play允许恶意软件存在的历史悠久,但它仍然比大多数第三方网站更安全。最终科利尔识别出了罪魁祸首,条形码扫描器(Barcode Scanner)。他表示,该app在十二月发布的更新中含有一些恶意代码,造成了广告轰炸。

“app可以通过一次更新就能转为恶意软件,还是在谷歌Play保护雷达运行之下,这令人毛骨悚然”Collier写到。“软件开发者竟然会将一个受欢迎的app改为恶意软件,这挺让我困惑的。难道这从一开始就是一个阴谋吗?让这个app蛰伏于此,等它获得足够的流量再发起攻击?”

Collier说,恶意广告软件就是第三方软件开发包的产物,开发者以此将对用户免费的应用软件变现。一些SDK(软件开发工具包)最后突破了限制,但并不为其开发者所知。Collier可以从代码本身和数字签署的数字证书得出结论,这一有害的行为就是由于开发者的更改导致的。

研究人员写到

不,在条形码扫描器的情况中,增添的恶意代码不在该app的之前版本之中。而且,增添的代码还采取了严重的模糊处理以躲避检测。为了证实这是app的开发者所为,我们确认了它使用了同之前无害版本相同的数字证书签名。由于其恶意,我们跳过了原来的广告软件检测类别,直接使用了木马,检测到了Android/Trojan.HiddenAds.AdQR.(安卓木马广告病毒)

在Collier私下提醒了谷歌后,谷歌就删除了这个app。然而,到目前为止,谷歌还没有用谷歌Play保护工具将该app从已经安装的设备中卸载。这意味着用户需要亲自卸载。

谷歌发言人拒绝透露保护功能是否删除了恶意的条形码扫描器。Ars向该app的开发者发送了邮件,希望他对此发表评论,但目前也还没有收到回复。

在安卓设备上安装了条形码扫描器的用户都应该查看它是不是Collier识别出的那个。该软件的MD5的散列编号(hash digest)是 A922F91BAF324FA07B3C40846EBBFE30, 安装包名称是com.qrcodescanner.barcodescanner. 不要将这个恶意条形码扫描器与这一个或其他有着相同名字的app混淆。

对安卓软件的一般建议是:人们应该安装那些真正有用的软件,而且是在阅读完用户评论和所需权限之后。超过六个月未使用已安装应用程序的用户也应强烈考虑将其删除。不幸的是,在这种情况下,遵从这些建议并不能保护使用条形码扫描器的用户。

使用信誉良好厂家的恶意软件扫描器也是个不错的注意。Malwarebytes软件就免费提供软件检测。每月运行一到两次,对于许多用户来说不失为一个好主意。

0 条评论
评论不能为空