Nakon što je aplikacije za čitanje bar koda otela milione uređaja oglasili su se nadređeni. Vlasnici nekada legitimne Android aplikacije insistiraju na tome da je kupac odgovoran za zlonamjerno ažuriranje s dalekosežnim posljedicama.

Vlasnici aplikacije za skeniranje bar koda, koja je jednim ažuriranjem postala zlonamjerna, kažu da je za to kriv kupac.

Ovog mjeseca, firma za cyber sigurnost Malwarebytes istražila je kako aplikacija za skeniranje bar koda i QR koda preko noći postala zlonamjerni softver.

Nakon što su stekli softver, korisnici su se počeli žaliti da su im mobilni uređaji puni neželjenih oglasa.

U čemu je problem?

Skener barkoda označen je kao krivac i izvor smetnji, praćen kao Android / Trojan.HiddenAds.AdQR. Istraživači su kao razlog pratili zlonamerna ažuriranja - agresivnim guranjem oglasa implementiranim u kod aplikacije.

Analitički kôd aplikacije također je izmijenjen, a ažuriranja su jako zamućena.

Malwarebytes je rekao da je kriv vlasnik Lavabird Ltd. zbog registracije vlasništva u vrijeme ažuriranja. Jednom prijavljen, softver je preuzet sa Google Playa.

U to vrijeme Lavabird nije odgovarao na zahtjeve za komentar. Međutim, prodavač je sada kontaktirao Malwarebytes s objašnjenjem situacije.

12. februara Malwarebytes je rekao da je Lavabird, uslijed kupoprodajnog ugovora u kojem će vlasništvo aplikacije promijeniti vlasnika optužilo račun pod nazivom "svemirski tim".

Lavabird je kupio skener barkoda 23. novembra, a naknadni dogovor o svemirskom timu dogovoren je 25. novembra.

Lavabird je 10. veljače rekao Malwarebytesu da su "ni manje ni više ogorčeni", a Lavabird je u ovoj situaciji djelovao samo kao "posrednik" između "prodavača i kupca". "

Prema Lavabirdu, firma razvija, prodaje i kupuje mobilne aplikacije. U ovom slučaju, kompanija insistira na tome da je kupcu aplikacij omogućen pristup Google Play-u radi provjere softvera prije kupnje.

Kupac je, kaže Lavabird, taj koji je zlonamjerno ažuriranje gurnuo na korisnike skenera bar kodova.

"Prijenos ključa za potpisivanje aplikacije prilikom prijenosa vlasništva nad aplikacijom legitiman je dio [ovog] procesa", komentirali su istraživači. "Stoga se zahtjev" svemirskog tima "da provjeri radi li privatni ključ učitavanjem ažuriranja na Google Play čini vjerojatnim."

Nakon izvršenog ažuriranja, aplikacija je 7. decembra prebačena na Google Play račun kupca. Međutim, Malwarebytes kaže da je u vrijeme ažuriranja zlonamjernog softvera vlasništvo i dalje pripadalo tvrtki Lavabird.

Prvo zlonamjerno ažuriranje dogodilo se 27. novembra, a naknadna ažuriranja su prikrila kôd malware-a, sve do 5. januara, prije nego što je aplikacija objavljena.

Lavabird nije verificirao kupca koji je pronađen usmenom predajom. Međutim, kompanija je rekla da će "ova lekcija ostati u nama za život".

"Iz moje analize, čini se da se dogodilo pametno podvig socijalnog inženjeringa u kojem su programeri malvera kupili već popularnu aplikaciju i iskoristili je", komentirao je istraživač Malwarebytesa Nathan Collier. "Čineći to, uspjeli su uzeti aplikaciju s 10 milijuna instalacija i pretvoriti je u zlonamjerni softver. Čak i ako dio tih instalacija ažurira aplikaciju, to je puno zaraza.

I tako što su mogli prije modificirati kôd aplikacije u cijelosti kupili i prenijeli, mogli su testirati je li Google Play na njihovom računu druge kompanije neotkrivao njihov zlonamjerni softver. "

Ako je tačno, a ovo je tvrdnja koju je Collier prihvatio, slučaj ističe zanimljiv način za aktere prijetnje da iskoriste programere aplikacija, trgovce i testiraju izloženost zlonamjernog softvera na Google Playu putem uspostavljenih i pouzdanih korisničkih baza.

"Jako nam je žao što je aplikacija postala virus, za nas to nije samo udarac za našu reputaciju", rekao je Lavabird za Malwarebytes. "Nadamo se da će korisnici ukloniti aplikaciju s virusom sa svojih telefona."