В популярном мобильном приложении для сканирования штриховых кодов Barcode Scanner, насчитывающем более 10 млн установок, выявлена подстановка вредоносного кода. Проблема была разобрана исследователями из компании Malwarebytes после появления жалоб пользователей на автоматическое открытие других сайтов в браузере и появление всплывающих окон с предложениями по установке фиктивных антивирусных программ.
Как правило, появление подобной рекламы связано с установкой сомнительных программ из непроверенных источников, но в разбираемом случае пользователи давно не выполняли установку новых приложений, а все имеющиеся программ имели хорошую репутацию. Детальный анализ показал, что причиной вредоносной активности стало декабрьское обновление приложения Barcode Scanner, которое ранее не вызывало нареканий, пользовалось популярностью у пользователей и успешно проходило проверку Google Play Protect.
Пока не ясно, внедрение вредоносного кода было произведено в результате компрометации инфраструктуры, смены владельца или изменения намерений разработчиков, но обновление было заверено корректной цифровой подписью, которая использовалась и в прошлых выпусках.
Гипотеза об использовании непроверенного нового фреймворка для монетизации была отвергнута так как вредоносный код был встроен и
замаскирован с использованием методов обфускации для затруднения выявления. Вредоносная вставка классифицируется антивирусным ПО как троян Android/Trojan.HiddenAds.AdQR, осуществляющий подстановку рекламы,
После уведомления о проблеме компания Google удалила приложение из каталога Google Play, но пока не активировала принудительное удаление уже установленных экземпляров с устройств пользователей при помощи системы Google Play Protect.