Tien miljoen gebruikers van de 'Barcode Scanner-app' die in de Google Play Store werd aangeboden zijn na een update van de app met malware besmet geraakt. Dat laat anti-malware-bedrijf 'Malwarebytes' weten. 'Barcode Scanner' laat gebruikers barcodes en QR-codes scannen. De app was al sinds 2017 in de Google Play Store te vinden.
Malwarebytes
Eind december kreeg anti-malware-bedrijf 'Malwarebytes' een noodoproep van een van de forumbezoekers. Slachtoffers kregen advertenties te zien die vanuit het niets via hun standaard browser werden geopend. Het vreemde is dat geen van hen onlangs apps had geïnstalleerd, en de apps die ze hadden geïnstalleerd kwamen uit de officiële Google Play Store.
Een gebruiker met de gebruikersnaam 'Anon00' ontdekte dat het afkomstig was van een reeds geïnstalleerde app, de app 'Barcode Scanner'. Een app die meer dan 10 miljoen keer gedownload is uit de Google Play Store!
Oorspronkelijk had de app een andere ontwikkelaar. De nieuwe eigenaar rolde in december een update voor de app uit die malware bevatte. Na installatie van de update laadt de malware verschillende websites, toont advertenties en probeert de gebruiker aanvullende apps te laten installeren.
Van een onschuldige scanner-app naar malware-app
Veel van de slachtoffers hadden de app gedurende lange tijd op hun mobiele apparaten geïnstalleerd (één gebruiker had de app al meerdere jaren geïnstalleerd) toen ineens, na een update in december de 'Barcode Scanner' van een onschuldige scanner een malware app werd! Hoewel Google deze app al heeft ingetrokken ontdekte Malwarebytes op basis van een in de cache opgeslagen Google Play-webpagina dat de update plaats gevonden had op 4 december 2020.
Slechte bedoelingen
De meeste gratis apps op Google Play bevatten een vorm van in-app-advertenties. Dit doen ze door een advertentie-SDK toe te voegen aan de code van de app. Meestal aan het einde van de ontwikkeling van de app. Bij betaalde versies is deze SDK eenvoudigweg niet inbegrepen.
Advertentie-SDK's kunnen afkomstig zijn van verschillende externe bedrijven en een bron van inkomsten zijn voor de app-ontwikkelaar. Het is een win-winsituatie voor iedereen. Gebruikers krijgen een gratis app, terwijl de app-ontwikkelaars en de advertentie-SDK-ontwikkelaars worden betaald.
Maar af en toe kan een advertentie-SDK-bedrijf iets aan hun kant veranderen en kunnen advertenties een beetje agressief worden. Soms zelfs dat de app in de categorie komt te staan van Adware. Wanneer dit gebeurt, is het niet de app-ontwikkelaar, maar het SDK-bedrijf. Ik leg deze methode uit om aan te geven dat het in dit geval van de 'Barcode Scanner' niet het geval is.
Nee, in het geval van de 'Barcode Scanner' was er kwaadaardige code toegevoegd die niet in eerdere versies van de app te zien waren. Bovendien gebruikte ze "sterk gecamoufleerde code" om detectie te voorkomen. Vanwege de kwaadaardige bedoelingen is de app niet ingedeeld in de categorie Adware maar direct bij de malafide apps ingedeeld met de label Trojan (Trojan.HiddenAds.AdQR).
Het moeilijkste deel van malware-analyse is het repliceren van wat de slachtoffers ervaren. Bij deze malware van de 'Barcode Scanner' werd het meteen duidelijk na installatie. Bekijk de korte video hieronder om het kwaadaardige gedrag te zien:
De blijft op smartphone
Het verwijderen van een app uit de Google Play Store betekent niet noodzakelijk dat deze ook van de betrokken mobiele apparaten wordt verwijderd. Tenzij Google Play Protect het achteraf verwijdert, blijft het op het apparaat staan. Dit is precies wat gebruikers ervaren met 'Barcode Scanner'. Dus totdat de slachtoffers een malware scanner zoals Malwarebytes voor Android installeren of de app handmatig verwijderen blijft deze advertenties weergeven.
Buiten zicht Google Play Protect
Het is moeilijk te zeggen hoe lang 'Barcode Scanner' als legitieme app in de Google Play Store heeft gestaan voordat deze kwaadaardig werd. Op basis van het hoge aantal installaties en gebruikersfeedback vermoeden we dat het er al jaren is. Het is beangstigend dat een app met één update kwaadaardig kan worden terwijl de app onder de radar van Google Play Protect blijft. Het is verbazingwekkend dat een app-ontwikkelaar van een populaire app er zomaar malware heeft van kunnen maken. Was dit al die tijd al het plan om van een legitieme app er uiteindelijk malware van te maken? We zullen er waarschijnlijk nooit achterkomen, maar het feit dat het mogelijk is dat alleen is al zorgwekkend.
App-informatie
Uitgeverij:
LavaBird LTD
Applicatie naam:
Barcode Scanner
MD5:
A922F91BAF324FA07B3C40846EBBFE30
Pakketnaam: Google Play URL:
com.qrcodescanner.barcodescanner
https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner(oorspronkelijke link)
Malware gerelateerde berichten
Is de ‘NewProfilePic-app’ Russische malware?
De app 'New Profile Pic' staat zowel in de Apple App Store als in de Google Play Store op nummer één in de ranglijst van de populairste, meest gedownloade apps. Daarmee is de app momenteel dus populairder dan apps als Instagram, TikTok, Snapchat, YouTube en Messenger. Maar om deze app is momenteel het één en ander te doen: zo gaat het gerucht dat de app in werkelijkheid malware bevat van Russische makelij, dat gebruikers van de app slachtoffer worden van oplichting én dat de app data doorsluist naar het Kremlin. Hoe zit dat? In dit artikel leggen we het uit.
Hoe werkt de Apple, Google en Samsung Pay oplichtingstruc?
Oplichting via Apple Pay? Het kan! Criminelen zijn er namelijk in geslaagd om creditcardfraude via Apples betaaldienst te plegen. Ook Google Pay en Samsung Pay zijn kwetsbaar. De truc werkt via malware en vooralsnog zijn er geen Nederlandse slachtoffers bekend.
‘Pegasus spyware’ we horen er steeds meer over, maar wat is het?
Je moet er niet aan denken: iemand kan op afstand alle inhoud van je smartphone meelezen. Zonder dat je iets merkt en zonder dat je er iets tegen kunt doen. Een groot datalek verklapte het bestaan van dit soort malware: Pegasus. Waarbij de controverse vooral zit in het feit dat de surveillancemalware vooral gebruikt werd door overheden.
IsaacWiper en HermeticWizard: De malware combineert dus een wiper met ransomware en een worm
Het beveiligingsbedrijf ESET heeft meerdere types wiper-malware gevonden in Oekraïense systemen. Wiper-malware is een type malware dat schade aanricht aan een systeem, zichzelf vervolgens verwijdert en zijn sporen uitwist. Het idee is dat onderzoekers de malware dan niet kunnen vinden of kunnen herleiden tot een bron.
Stijging van ruim 47 procent met nieuwe malware
Er komen steeds meer verschillende soorten malware samples op de markt blijkt uit een analyse van G DATA CyberDefense. In totaal werden er vorig jaar meer dan 23,7 miljoen verschillende soorten malware samples geïdentificeerd. Dit staat gelijk aan bijna 65.000 nieuwe varianten malware per dag, oftewel 45 nieuwe aanvalsvectoren per minuut. Vergeleken met 2020 is dit een stijging van ruim 47 procent.
Toename gebruik van versleutelde verbindingen voor het afleveren van zerodays en malware
Het aantal malwarebesmettingen op eindpoints oversteeg in Q3 van 2021 al het totale volume van 2020. Ook het aantal zero-day-aanvallen met malware dat binnenkomt via versleutelde verbindingen is gestegen.
Hoe een valse reboot aanval voet aan de grond krijgt in het besturingssysteem van een smartphone
Om er absoluut zeker van te zijn dat uw telefoon u niet trackt of gesprekken afluistert, kunt u hem uitzetten. Dat lijkt logisch, want op die manier kan uw telefoon niets doen, zelfs niet als de telefoon geïnfecteerd is met ernstige spyware.
De wederopstanding van Emotet malware
Emotet is sinds vorige week weer actief en beveiligingsexperts vrezen voor een wederopstanding. De komende tijd kunnen we een forse toename aan spam en phishingmails verwachten. Onderzoekers zijn bang dat er wereldwijd honderdduizenden nieuwe slachtoffers gaan vallen.
Telefoonrekening duurder? Malware koppelt abonnement aan telefoonnummer
Een nep-foto-editor, camerafilter, games en andere apps die worden gepromoot via Instagram- en TikTok-kanalen.
Hypes die worden uitgebuit
Cybercriminelen profiteren van hypes zoals Pokémon en momenteel Squid Game om malware in omloop te brengen. Vorige week werd bekend dat er malware was gevonden in de Google Play Store, vermomd als een Squid Game wallpaper-app. Dit is niet de eerste keer; oplichters maken vaker gebruik van de populariteit van virale hits om schadelijk bestanden over te dragen.
Alarmerende stijging van het aantal aanvallen met ransomware en fileless malware
"De overgrote meerderheid (91,5%) van de malware vindt zijn weg naar bedrijfsnetwerken via verbindingen met https-versleuteling."
Veel smartphones worden momenteel aangevallen
De laatste dagen maken veel Nederlanders melding van vreemde sms'jes. Er gaan twee varianten rond: de eerste variant gaat over 'gemiste oproepen en achtergelaten voicemailberichten', de tweede over 'pakketten die niet konden worden bezorgd'. De spelling van de sms'jes laat in beide gevallen vaak te wensen over, er wordt verwezen naar willekeurige, vage links én er staan vaak onlogische karakterreeksen in de tekst. Wat is dat precies? Wat zit erachter? En is er sprake van malware of oplichting?