更新:2021年2月12日

我们注意到这个故事中还有另一个糟糕的演员。

显然,原来的出版社,LAVABIRD LTD,是不是糟糕的演员。它代替名称“太空团队”的帐户。然而,有证据表明更新“条形码扫描器”通过任何发布者都会导致恶意软件感染Android / Trojan.hiddenads.adqr.

这是所有已知的受感染版本的崩溃“条形码扫描器”在谷歌Play store上上传相应的日期和相应的发行商:

  • 11月27日TH.,2020年:“条形码扫描器”V1.67,Publisher Lavabird Ltd
  • 12月4日TH.,2020年:“条形码扫描器”V1.68,Publisher Lavabird Ltd
  • 12月7日TH.,2020年:“条形码扫描器”v1.69,出版商空间团队
  • 12月23日rd.,2020年:“条形码扫描器”v1.71,出版商空间团队
  • 12月31日英石,2020年:“条形码扫描器”v1.73,发行商太空团队
  • 12月31日英石,2020年:“条形码扫描器”v1.75,出版商太空团队
  • 1月5日TH.,2020年:“条形码扫描器”v1.75,出版商太空团队和最后一个已知的恶意软件感染版本发布
    • 此后的一段时间谷歌播放删除了“条形码扫描器”从它的商店

为了在这个传奇上获得完整的故事,您还可以阅读我们的全长博客,了解我们对谁拥有此应用程序的调查以及谁可能对恶意变化负责。阅读这里的故事:谁应该归咎于Google Play上的恶意条形码扫描仪?

清除其他一些东西

我们希望根据博客的评论来花一些时间清除其他事情。我们感谢我们顾客的所有反馈,我们想解决提出的一些问题。

首先,为了澄清,Google Play上有许多,许多干净,合法的条形码/ QR扫描仪。我们忽略了名称的通用性质“条形码扫描器”会引发恐慌您的条形码扫描仪可能是我们所指的那个。条形码/ QR扫描仪长期以来一直是剥削的目标,因为它只是关于使用Android设备安装条形码/ QR扫描仪的每个人。因此,自移动恶意软件的开头以来,发生了对条形码/ QR扫描仪的开发。这只是一个单独的,条形码/ QR扫描仪的孤立案例正在被利用。我不能夸大那个大多数Google Play上的条形码/ QR扫描仪是干净和安全的。

如果您担心安装了此条形码扫描仪,那么您的手机是您的移动设备上的行为。您的默认浏览器打开,一般都是,Web重定向。请记住,Web重定向也可以是浏览器相关的,我们建议首先清除浏览器历史记录和缓存。如果问题仍然存在必威平台APP适用于Android的Malwarebytes没有检测到,发布我们的论坛提交支持票.我们可以在那里解决问题。

接下来,澄清火箭清洁器-系统优化.在我们的短视频中,Web重定向结束了Google播放网页火箭清洁器-系统优化。我们想说明的是火箭清洁器-系统优化是在Google Play上找到的一个干净的安全应用程序。

恶意软件的作者获得的报酬是基于网络重定向的点击量,而不是通过让人们感染其他恶意软件。并不是说这些重定向可能试图下载恶意软件,但在这里没有证据。每一次网络重定向都是一笔小钱。重定向可以轻松打开任何数量的干净谷歌Play应用程序。这并不意味着作为重定向端点的应用程序本身就是恶意的。

原创博客,发布于2021年2月5日

去年末,我们开始从我们的遇险呼吁论坛顾问.顾客正在经历通过他们的默认浏览器开放的广告。奇怪的部分是他们最近安装了任何应用的,而他们安装的应用来自Google Play商店。然后一个由Username Anon00出发的Patron,发现它来自一个长期安装的应用程序,“条形码扫描器”.谷歌Play的安装量超过1000万的应用!我们很快添加了检测功能,谷歌也很快将该应用从商店下架。

简单的扫描仪变得邪恶

许多顾客在长期的时间内安装了移动设备上的应用程序(一个用户安装了几年)。然后突然,在12月更新后,“条形码扫描器”从一个无辜的扫描仪走到恶意软件上!虽然谷歌已经删除了这个应用程序,但我们预测了一部缓存的Google播放网页,更新在12月4日发生TH.2020年。

恶意

Google Play上的大多数免费应用程序包括某种应用程序的广告。它们通过将AD SDK包含到应用程序的代码来完成此操作。通常在应用程序的开发结束时。支付的版本完全没有此SDK。

广告SDK可以来自各种第三方公司,并为App Developer提供收入来源。这是每个人的双赢。用户获得免费应用程序,而App Developers和Ad SDK开发人员获得报酬。

但每隔一段时间,广告SDK公司就会改变一些内容,广告就会变得有点咄咄逼人。有时甚至把使用它的应用程序放在广告软件类别中。当这种情况发生时,这不是应用开发者的行为,而是SDK公司的行为。我解释这个方法是说,在这种情况下条形码扫描器,这是不是案子。

不,就是这样条形码扫描器,已添加恶意代码,这些代码不在以前的应用程序中。此外,附加的代码使用了重的混淆来避免检测。要验证这是来自同一应用程序开发人员,我们已确认已用与以前的清洁版本相同的数字证书签名。由于它的恶意意图,我们将我们的原始探测类别的广告软件直接跳到了木马,检测到了Android / Trojan.HiddenAds.AdQR。

坏的行为

恶意软件分析中最困难的部分是复制用户的体验。这不是问题“条形码扫描器”,它在安装几分钟内进入了行动。观看下面的短视频以查看其恶意行为:

从播放中删除,但不是来自移动设备

从Google Play Store中删除应用程序并不一定意味着它将从受影响的移动设备中删除。除非谷歌游戏保护事后删除它,它仍然在设备上。这正是用户正在体验的条形码扫描器。因此,直到他们安装一个恶意软件扫描仪必威平台APP适用于Android的Malwarebytes或手动删除应用程序,它将继续显示广告。

躺着休眠

很难说到底有多长时间“条形码扫描器”已经在谷歌Play商店作为一个合法的应用程序,然后变成恶意的。从高安装量和用户反馈来看,我们怀疑它已经存在多年了。令人恐惧的是,在谷歌Play Protect的雷达下,应用程序一次更新就可能变成恶意的。让我感到困惑的是,一个应用程序开发者会把一个流行的应用程序变成恶意软件。让一款应用处于休眠状态,等它流行起来后再推出,难道这就是他们一直以来的计划吗?我想我们永远也不会知道。

更新:2021年2月8日

根据用户请求,我们希望将Google Play链接提供给确切的“条形码扫描器”问题:https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner

我们深表歉意,这不是最初提供的。我们通常不提供不再存在的Google Play链接。但是,由于Google Play上有这么多其他合法的条码和QR扫描仪,我们了解这些信息如何帮助消除混淆。此外,确切的出版商是LAVABIRD LTD.,如Google Play屏幕截图所示。我们还要进一步指出恶意软件的行为是自身打开默认的Web浏览器,而无需用户交互。这与在积极浏览Web的同时发生的Web重定向不同。我们希望这可以清除任何混乱。

应用信息

出版商:
LAVABIRD LTD.

应用名称:
“条形码扫描器”

MD5:
A922F91BAF324FA07B3C40846EBBFE30

包名称:
com.qrcodescanner.barcodescanner

Google播放URL:
https://play.google.com/store/apps/details?id=com.qrcodeScanner.barcodeScanner.BarCodeScanner.