Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Szkodliwe kody QR rozprzestrzeniają złośliwe oprogramowanie dla Androida

Denis Nazarow
Kaspersky Lab Expert
Dodany 3 października 2011, 09:35 CEST

Według Wikipedii, kod QR to rodzaj matrycowego kodu kreskowego (lub dwuwymiarowego), który na początku znalazł zastosowanie w przemyśle motoryzacyjnym. Kody QR stają się dzisiaj coraz popularniejsze i są wykorzystywane w banerach, magazynach i transporcie w celu zapewnienia szybkiego i łatwego dostępu do określonych informacji. Kod QR posiada dość dużą pojemność (w porównaniu z prostym kodem kreskowym) i może przechowywać 7089 znaków numerycznych lub 4296 znaków alfanumerycznych, co w zupełności wystarczy do przechowywania tekstu lub URL.

A co ze szkodliwymi kodami QR? Jak można się domyślić, po przeskanowaniu kodu QR przy użyciu smartfonu użytkownik zostaje przekierowany na adres URL ze szkodliwym plikiem (APK lub JAR). Szkodliwe kody QR istnieją i – co więcej - stają się coraz popularniejsze.

Dzisiaj użytkownicy smartfonów często szukają nowego oprogramowania dla swoich urządzeń przy pomocy PC-ów. Jeżeli znajdą coś interesującego i chcą to pobrać, muszą wpisać adres URL aplikacji do przeglądarki smartfonu. Nie jest to zbyt wygodne, dlatego takie strony internetowe posiadają kody QR, które można łatwo zeskanować.

Wiadomo, że wiele mobilnych szkodliwych programów (zwłaszcza trojany SMS) jest dzisiaj rozprzestrzenianych za pośrednictwem podejrzanych stron internetowych, na których wszystkie programy są szkodliwe. Cyberprzestępcy zaczęli wykorzystywać szkodliwe kody QR dla „wygody” użytkowników. Poniżej przykład takiej strony:

Fragment strony WWW ze szkodliwym kodem QR

Warto zaznaczyć, że zamazany adres URL działa, ale nie istnieje żaden plik ‘jimm.apk’ powiązany z tym linkiem. Jeżeli jednak użytkownik przeskanuje kod QR, zostanie przekierowany na inny adres URL, który tym razem zawiera plik ‘jimm.apk’. Plik ten jest wykrywany przez nas jako Trojan-SMS.AndroidOS.Jifake.f:

Szkodnik wysyła kilka wiadomości SMS na numer o podwyższonej opłacie 2476 (6 dolarów za każdy SMS). Po zainstalowaniu go w menu telefonu pojawi się ikonka o nazwie ‘JimmRussia’.

Trojan-SMS.AndroidOS.Jifake.f

Inne strony internetowe również zawierają szkodliwe kody QR z odsyłaczami do różnych trojanów SMS działających w środowisku J2ME:

Inna strona WWW ze szkodliwym kodem QR

Wykorzystywanie kodów QR do rozprzestrzeniania szkodliwego oprogramowania było do przewidzenia. Tak długo, jak technologia ta będzie popularna, cyberprzestępcy będą ją wykorzystywać. Te dwa przykłady pokazują początki rozprzestrzeniania mobilnego szkodliwego oprogramowania za pośrednictwem kodów QR. W najbliższej przyszłości prawdopodobnie pojawi się więcej takich incydentów.