Tien miljoen gebruikers van de 'Barcode Scanner-app' die in de Google Play Store werd aangeboden zijn na een update van de app met malware besmet geraakt. Dat laat anti-malware-bedrijf 'Malwarebytes' weten. 'Barcode Scanner' laat gebruikers barcodes en QR-codes scannen. De app was al sinds 2017 in de Google Play Store te vinden.
Malwarebytes
Eind december kreeg anti-malware-bedrijf 'Malwarebytes' een noodoproep van een van de forumbezoekers. Slachtoffers kregen advertenties te zien die vanuit het niets via hun standaard browser werden geopend. Het vreemde is dat geen van hen onlangs apps had geïnstalleerd, en de apps die ze hadden geïnstalleerd kwamen uit de officiële Google Play Store.
Een gebruiker met de gebruikersnaam 'Anon00' ontdekte dat het afkomstig was van een reeds geïnstalleerde app, de app 'Barcode Scanner'. Een app die meer dan 10 miljoen keer gedownload is uit de Google Play Store!
Oorspronkelijk had de app een andere ontwikkelaar. De nieuwe eigenaar rolde in december een update voor de app uit die malware bevatte. Na installatie van de update laadt de malware verschillende websites, toont advertenties en probeert de gebruiker aanvullende apps te laten installeren.
Van een onschuldige scanner-app naar malware-app
Veel van de slachtoffers hadden de app gedurende lange tijd op hun mobiele apparaten geïnstalleerd (één gebruiker had de app al meerdere jaren geïnstalleerd) toen ineens, na een update in december de 'Barcode Scanner' van een onschuldige scanner een malware app werd! Hoewel Google deze app al heeft ingetrokken ontdekte Malwarebytes op basis van een in de cache opgeslagen Google Play-webpagina dat de update plaats gevonden had op 4 december 2020.
Slechte bedoelingen
De meeste gratis apps op Google Play bevatten een vorm van in-app-advertenties. Dit doen ze door een advertentie-SDK toe te voegen aan de code van de app. Meestal aan het einde van de ontwikkeling van de app. Bij betaalde versies is deze SDK eenvoudigweg niet inbegrepen.
Advertentie-SDK's kunnen afkomstig zijn van verschillende externe bedrijven en een bron van inkomsten zijn voor de app-ontwikkelaar. Het is een win-winsituatie voor iedereen. Gebruikers krijgen een gratis app, terwijl de app-ontwikkelaars en de advertentie-SDK-ontwikkelaars worden betaald.
Maar af en toe kan een advertentie-SDK-bedrijf iets aan hun kant veranderen en kunnen advertenties een beetje agressief worden. Soms zelfs dat de app in de categorie komt te staan van Adware. Wanneer dit gebeurt, is het niet de app-ontwikkelaar, maar het SDK-bedrijf. Ik leg deze methode uit om aan te geven dat het in dit geval van de 'Barcode Scanner' niet het geval is.
Nee, in het geval van de 'Barcode Scanner' was er kwaadaardige code toegevoegd die niet in eerdere versies van de app te zien waren. Bovendien gebruikte ze "sterk gecamoufleerde code" om detectie te voorkomen. Vanwege de kwaadaardige bedoelingen is de app niet ingedeeld in de categorie Adware maar direct bij de malafide apps ingedeeld met de label Trojan (Trojan.HiddenAds.AdQR).
Het moeilijkste deel van malware-analyse is het repliceren van wat de slachtoffers ervaren. Bij deze malware van de 'Barcode Scanner' werd het meteen duidelijk na installatie. Bekijk de korte video hieronder om het kwaadaardige gedrag te zien:
De blijft op smartphone
Het verwijderen van een app uit de Google Play Store betekent niet noodzakelijk dat deze ook van de betrokken mobiele apparaten wordt verwijderd. Tenzij Google Play Protect het achteraf verwijdert, blijft het op het apparaat staan. Dit is precies wat gebruikers ervaren met 'Barcode Scanner'. Dus totdat de slachtoffers een malware scanner zoals Malwarebytes voor Android installeren of de app handmatig verwijderen blijft deze advertenties weergeven.
Buiten zicht Google Play Protect
Het is moeilijk te zeggen hoe lang 'Barcode Scanner' als legitieme app in de Google Play Store heeft gestaan voordat deze kwaadaardig werd. Op basis van het hoge aantal installaties en gebruikersfeedback vermoeden we dat het er al jaren is. Het is beangstigend dat een app met één update kwaadaardig kan worden terwijl de app onder de radar van Google Play Protect blijft. Het is verbazingwekkend dat een app-ontwikkelaar van een populaire app er zomaar malware heeft van kunnen maken. Was dit al die tijd al het plan om van een legitieme app er uiteindelijk malware van te maken? We zullen er waarschijnlijk nooit achterkomen, maar het feit dat het mogelijk is dat alleen is al zorgwekkend.
App-informatie
Uitgeverij:
LavaBird LTD
Applicatie naam:
Barcode Scanner
MD5:
A922F91BAF324FA07B3C40846EBBFE30
Pakketnaam: Google Play URL:
com.qrcodescanner.barcodescanner
https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner(oorspronkelijke link)
Malware gerelateerde berichten
Onderzoekers waarschuwen voor nieuwe malware op Android-telefoons
Onderzoekers van cyber-beveiligingsbedrijf 'Cybereason' waarschuwen voor nieuwe malware die toeslaat op Android-devices. Het probeert inloggegevens van bank- en betalingsapps te onderscheppen.
Neppe VPN-sites verspreiden malware
Cybercriminelen proberen met een nieuwe aanvalscampagne gebruikers te misleiden tot het downloaden en installeren van malware. Deze is vermomd als een legitieme VPN-client.
Malware besmet iPhones en steelt Signal- en ProtonMail-data
Onderzoekers hebben in de eerste maanden van dit jaar malware ontdekt die ongepatchte iPhones en iPads infecteert en vervolgens data van onder andere chatapplicatie Signal en maildienst ProtonMail steelt. Het gaat om een zogeheten drive-by download, zo meldt securitybedrijf Volexity. Alleen het bezoeken van een gecompromitteerde website met een toestel dat op iOS 12.3, 12.3.1 en 12.3.2 draait is voldoende om met de malware besmet te raken. Er is geen verdere interactie van gebruikers vereist.
IT-gigant slachtoffer van ransomware aanval 'Maze'
IT bedrijf 'Cognizant' heeft bevestigd dat het bedrijf is getroffen door een ransomware aanval. Het Fortune 500-bedrijf heeft nog maar weinig vrijgegeven over het incident.
FBI: criminelen versturen USB-sticks met malware
De FBI heeft organisaties gewaarschuwd voor criminelen die malafide usb-sticks via de post rondsturen en malware installeren. In sommige gevallen worden ook cadeaubonnen of teddyberen meegestuurd. Onlangs waarschuwde ook al een securitybedrijf dat het een aanval had ontdekt waarbij er een usb-stick naar een bedrijf was gestuurd.
Malware in tal van apps voor kinderen
Er zullen hoogstwaarschijnlijk een aantal gevaarlijke apps op je mobiele telefoon geïnstalleerd zijn die malware bevatten. Het gaat hierbij voornamelijk om apps voor kinderen.
FBI "Groot aantal ziekenhuizen wereldwijd besmet met malware"
Een groot aantal ziekenhuizen wereldwijd is met malware besmet geraakt, zo stelt de FBI.
Mail met bijlage over Corona is malware
Cybercriminelen versturen op dit moment e-mails die van een ziekenhuis afkomstig lijken en stellen dat de ontvanger in contact is geweest met iemand die corona heeft.
Malware hackt cybercriminelen
Hackers krijgen een koekje van eigen deeg, zo blijkt uit een recent door security specialist 'Cyberreason' ontdekte malware-campagne. Bekende hackerstools worden gekaapt met de njRat-trojan. De trojan geeft echter niet alleen toegang tot de systemen van hackers, maar ook tot systemen die zij op hun beurt controleren en/of hebben gehackt.
Malware in ontwikkeling die tweede-staps (2FA) code kan stelen
Een nieuwe versie van de 'Cerberus' Android-banktrojan kan eenmalige codes stelen die zijn gegenereerd door de 'Google Authenticator-app' en 2FA-beveiligde accounts omzeilen.
Utrechtse Malware maker mogelijk 1,5 jaar achter tralies
Een 21-jarige student informatiekunde uit Utrecht is aangeklaagd voor het ontwikkelen en verkopen van macro-malware en het in bezit hebben van tientallen gestolen creditcardgegevens. Volgens het Openbaar Ministerie ontwikkelde de man de macrobuilders 'Rubella', 'Catan' en 'Dryad'.
Mac (Apple) wordt een steeds populairder doelwit voor hacking
Mac wordt een steeds populairder doelwit voor hackers. Het aantal aanvallen gericht op macOS zou het afgelopen jaar meer dan verdubbeld zijn en steekt zelfs voor het eerst het aantal Windows-bedreigingen voorbij.