Barcode 扫描器更新入侵 1000 万台设备

通过一次更新，Google Play上一个流行的Barcode扫描器应用程序就转变为恶意软件，并能够劫持多达1000万台设备。

Lavabird Ltd.的Barcode扫描器是一个Android应用程序，已经在Google的官方应用程序存储库中使用了多年。该应用程序的安装量超过1000万，提供了二维码阅读器和条形码生成器，这是一种适用于移动设备的实用程序。

该移动应用程序似乎是合法，可信赖的软件，许多用户几年前就安装了该应用程序，直到最近才出现任何问题。

根据Malwarebytes的说法，用户最近开始抱怨广告在其Android设备上意外出现。通常情况下，不需要的程序，广告和恶意广告与新安装的应用程序相关联，但是在此示例中，用户报告他们最近没有安装任何东西。

经调查，研究人员确定了条形码扫描仪为罪魁祸首。

大约在2020年12月4日发布的软件更新更改了该应用的功能，以在不发出警告的情况下推送广告。尽管许多开发人员在其软件中实施广告以能够提供免费版本-付费应用根本不显示广告-近年来，应用程序一夜之间从有用的资源转向广告软件的现象正变得越来越普遍。

Malwarebytes指出：“广告SDK可以来自各种第三方公司，并为应用程序开发人员提供收入来源。这对所有人来说都是双赢的局面。” “用户可以获得免费的应用程序，而应用程序开发人员和广告SDK开发人员却获得报酬。但是，广告SDK公司有时可能会在一段时间内做出一些改变，并且广告可能会变得更具侵略性。”

有时广告做法可能是SDK第三方的过错-但在条码扫描器中却并非如此。相反，研究人员说，恶意代码在12月的更新中被推送，并且被大量隐藏以避免被检测到。

该更新还使用了以前的Android应用程序纯净版本中使用的相同安全证书签名。

恶意软件字节（Malwarebytes）向Google报告了调查结果，这家科技巨头现已将其从Google Play中撤出。但是，这并不意味着该应用程序将从受影响的设备中消失，因此用户需要手动卸载该恶意软件。

将干净的SDK转换为恶意程序包只是避免Google Play保护的一种方法，它具有时间检查，显示时间长，应用程序使用的开源库遭到破坏以及动态加载等特性，这也被视为攻击者入侵您的手机的潜在方法设备。

趋势科技发现的另一种有趣的方法是运动传感器检查的实现。在2019年，发现Android实用程序应用程序包含Anubis银行木马，仅当用户移动手机后才会部署。