Tien miljoen gebruikers van de 'Barcode Scanner-app' die in de Google Play Store werd aangeboden zijn na een update van de app met malware besmet geraakt. Dat laat anti-malware-bedrijf 'Malwarebytes' weten. 'Barcode Scanner' laat gebruikers barcodes en QR-codes scannen. De app was al sinds 2017 in de Google Play Store te vinden.
Malwarebytes
Eind december kreeg anti-malware-bedrijf 'Malwarebytes' een noodoproep van een van de forumbezoekers. Slachtoffers kregen advertenties te zien die vanuit het niets via hun standaard browser werden geopend. Het vreemde is dat geen van hen onlangs apps had geïnstalleerd, en de apps die ze hadden geïnstalleerd kwamen uit de officiële Google Play Store.
Een gebruiker met de gebruikersnaam 'Anon00' ontdekte dat het afkomstig was van een reeds geïnstalleerde app, de app 'Barcode Scanner'. Een app die meer dan 10 miljoen keer gedownload is uit de Google Play Store!
Oorspronkelijk had de app een andere ontwikkelaar. De nieuwe eigenaar rolde in december een update voor de app uit die malware bevatte. Na installatie van de update laadt de malware verschillende websites, toont advertenties en probeert de gebruiker aanvullende apps te laten installeren.
Van een onschuldige scanner-app naar malware-app
Veel van de slachtoffers hadden de app gedurende lange tijd op hun mobiele apparaten geïnstalleerd (één gebruiker had de app al meerdere jaren geïnstalleerd) toen ineens, na een update in december de 'Barcode Scanner' van een onschuldige scanner een malware app werd! Hoewel Google deze app al heeft ingetrokken ontdekte Malwarebytes op basis van een in de cache opgeslagen Google Play-webpagina dat de update plaats gevonden had op 4 december 2020.
Slechte bedoelingen
De meeste gratis apps op Google Play bevatten een vorm van in-app-advertenties. Dit doen ze door een advertentie-SDK toe te voegen aan de code van de app. Meestal aan het einde van de ontwikkeling van de app. Bij betaalde versies is deze SDK eenvoudigweg niet inbegrepen.
Advertentie-SDK's kunnen afkomstig zijn van verschillende externe bedrijven en een bron van inkomsten zijn voor de app-ontwikkelaar. Het is een win-winsituatie voor iedereen. Gebruikers krijgen een gratis app, terwijl de app-ontwikkelaars en de advertentie-SDK-ontwikkelaars worden betaald.
Maar af en toe kan een advertentie-SDK-bedrijf iets aan hun kant veranderen en kunnen advertenties een beetje agressief worden. Soms zelfs dat de app in de categorie komt te staan van Adware. Wanneer dit gebeurt, is het niet de app-ontwikkelaar, maar het SDK-bedrijf. Ik leg deze methode uit om aan te geven dat het in dit geval van de 'Barcode Scanner' niet het geval is.
Nee, in het geval van de 'Barcode Scanner' was er kwaadaardige code toegevoegd die niet in eerdere versies van de app te zien waren. Bovendien gebruikte ze "sterk gecamoufleerde code" om detectie te voorkomen. Vanwege de kwaadaardige bedoelingen is de app niet ingedeeld in de categorie Adware maar direct bij de malafide apps ingedeeld met de label Trojan (Trojan.HiddenAds.AdQR).
Het moeilijkste deel van malware-analyse is het repliceren van wat de slachtoffers ervaren. Bij deze malware van de 'Barcode Scanner' werd het meteen duidelijk na installatie. Bekijk de korte video hieronder om het kwaadaardige gedrag te zien:
De blijft op smartphone
Het verwijderen van een app uit de Google Play Store betekent niet noodzakelijk dat deze ook van de betrokken mobiele apparaten wordt verwijderd. Tenzij Google Play Protect het achteraf verwijdert, blijft het op het apparaat staan. Dit is precies wat gebruikers ervaren met 'Barcode Scanner'. Dus totdat de slachtoffers een malware scanner zoals Malwarebytes voor Android installeren of de app handmatig verwijderen blijft deze advertenties weergeven.
Buiten zicht Google Play Protect
Het is moeilijk te zeggen hoe lang 'Barcode Scanner' als legitieme app in de Google Play Store heeft gestaan voordat deze kwaadaardig werd. Op basis van het hoge aantal installaties en gebruikersfeedback vermoeden we dat het er al jaren is. Het is beangstigend dat een app met één update kwaadaardig kan worden terwijl de app onder de radar van Google Play Protect blijft. Het is verbazingwekkend dat een app-ontwikkelaar van een populaire app er zomaar malware heeft van kunnen maken. Was dit al die tijd al het plan om van een legitieme app er uiteindelijk malware van te maken? We zullen er waarschijnlijk nooit achterkomen, maar het feit dat het mogelijk is dat alleen is al zorgwekkend.
App-informatie
Uitgeverij:
LavaBird LTD
Applicatie naam:
Barcode Scanner
MD5:
A922F91BAF324FA07B3C40846EBBFE30
Pakketnaam: Google Play URL:
com.qrcodescanner.barcodescanner
https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner(oorspronkelijke link)
Malware gerelateerde berichten
Coronavirus-campagnes verspreid Emotet, Malware
Aangezien het coronavirus uit de provincie Wuhan in China nog steeds wijdverbreide angsten wekt over een mondiale volksgezondheidscrisis, zien sommigen een kans in de uitbraak.
Muziek: Artiesten en nummers om malware te verspreiden
Kaspersky-beveiligingstechnologieën ontdekten een toename van 39% van aanvallen (pogingen om kwaadaardige bestanden te downloaden of uit te voeren) onder het mom van het werk van 'genomineerden in 2019, vergeleken met 2018'. Ariana Grande, Taylor Swift en Post Malone waren de favorieten van aanvallers, met deze genomineerden namen die het meest worden gebruikt in 2019 als vermomming voor malware.
Kerstmis malware verspreidt zich snel
Het is tijd voor lelijke kersttruien - en voor lelijke spammails met een kerstthema. Een nieuwe malspam-campagne dumpt een e-mail in uw inbox met 'Christmas Party', 'Christmas Party volgende week', 'Partymenu', 'Vakantieschema' of iets dergelijks. Maar het bijgevoegde Word-document bevat een gevaarlijke malware: de beruchte Trojan-malware van Emotet.
Nepkortingsbonnen McDonalds leiden naar bankmalware
Facebook gebruikers zijn gewaarschuwd voor zogenaamde kortingsbonnen van 'McDonalds' die via het platform worden aangeboden. In plaats van een korting op een Big Mac, wacht er een infectie met bankmalware, die gegevens voor internetbankieren onderschept. Dat meldt antivirusbedrijf ESET.
Bestandloze malware "Campagnes zonder infectie zijn moeilijk te detecteren"
Net zoals criminelen kunnen worden gepakt door vingerafdrukken of DNA op de plaats delict, laten hackers ook sporen achter op geïnfecteerde systemen. Om het bewijs van hun aanvallen te verbloemen, hebben cybercriminelen bestandsloze malware ontwikkeld. Deze schadelijke softwarevariant bestaat slechts als een artefact op het computergeheugen. De infectie of malware plaatst geen uitvoerbare bestanden op de harde schijf van het geïnfecteerde systeem om de detectie van de aanval zo lang mogelijk te verbergen. Verschillende nieuwe campagnes, die gebruikmaken van bestandsloze malware-aanvallen, zijn geanalyseerd door het Zscaler-ThreatlabZ-team.
Aanvallers blijven gebruikmaken van meer sociale engineering en verfijning
Ondanks een afwezigheid van bijna vier maanden, was de terugkeer van 'Emotet' in de laatste twee weken van september goed voor bijna 12 procent van alle kwaadaardige e-mailvoorbeelden in het derde kwartaal, waardoor miljoenen berichten met kwaadaardige URL's of bijlagen werden afgeleverd, vond Proofpoint.
Chinese hackers richten zich op sms-berichten met een nieuwe vorm van malware
Aangenomen wordt dat een Chinese, door de staat gesponsorde hackinggroep achter een nieuwe vorm van malware zit die zich richt op sms-berichten op servers van telecommunicatiebedrijven.
Malware apps in Appstore
Hoewel er behoorlijk wat apps bestaan die je leven een stuk spannender en aangenamer maken, zijn er helaas ook applicaties die het tegenovergestelde lijken te doen. Apple‘s App Store treft maatregelen om deze dubieuze apps te weren, maar kan niet voorkomen dat het soms mis gaat. Zo liet de beveiligingsfirma Wandera afgelopen donderdag weten dat zeventien apps in de App Store geïnfecteerd zouden zijn met clicker trojan malware. De geïnfecteerde apps zouden gebruikt worden om advertentiefraude te plegen door veelvuldig verbinding te maken met advertentienetwerken of websites.
Windows- en Mac-gebruikers opgepast met Flash-updates
Gebruikers van Windows en macOS moeten extra alert zijn voor pop-ups van 'Adobe Flash'. Via valse, misleidende notificaties wordt geprobeerd om jouw systeem te infecteren met malware of ransomware.
Nieuwe Malware ATTOR is compleet spionageplatform
Cybersecurity onderzoekers hebben een nieuw malware ontdekt dat onder andere het gebruik van de encryptiesoftware 'TrueCrypt' op besmette systemen monitort. De malware heet 'Attor' en wordt door antivirusbedrijf 'ESET' als een compleet spionageplatform omschreven.
Malware die audio en video opneemt bij bezoek porno-website
Cybersecurity onderzoekers hebben malware ontdekt die audio en video opneemt als de gebruiker van de besmette machine pornosites bezoekt. Het opgenomen materiaal kan mogelijk worden gebruikt om het slachtoffer af te persen (sextortion).
Face-App malafide? Zaklamp-App niet!?
Onlangs werd FaceApp veel besproken op internet, omdat het bedrijf erachter Russisch is en de app toestemming vraagt voor toegang tot onder andere foto's. Het is duidelijk dat FaceApp niet kwaadaardig is, hoewel het geldige privacy kwesties oplevert. Is dit echter een speciaal geval of moeten we ons zorgen maken over alle apps die we gebruiken? Ik heb het niet over stalkerware-apps, maar over de miljoenen schijnbaar onschadelijke apps die te vinden zijn in de Google Play Store.