Barcode Scanner стал зловредом при переходе в другие руки

Татьяна Никитина 18 Февраля 2021 - 14:20

...

Barcode Scanner стал зловредом при переходе в другие руки

Через несколько дней после публикации сообщения о внезапной метаморфозе Android-приложения Barcode Scanner компания LavaBird, от имени которой вышел вредоносный апдейт, прислала в Malwarebytes письмо с объяснением ситуации. По словам отправителя, виновником изменения поведения популярного сканера штрихкодов является нынешний владелец проекта, пожелавший протестировать ключ подписи разработчика и пароль перед покупкой.

Напомним, с выходом обновления 1.68 программа Barcode Scanner, на счету которой числилось 10 млн загрузок с Google Play, стала заваливать пользователей непрошеной рекламой. В Malwarebytes новый вариант сканера признали троянским, и Google пришлось изъять его из доступа в магазине.

На тот момент комментариев от LavaBird не последовало, однако позже ситуация прояснилась. В своем письме представители компании утверждают, что осуществляли лишь посреднические функции при перепродаже проекта: купили его 23 ноября прошлого года и договорились о последующей продаже 25 ноября. Покупателем являлась некая группа The space team.

По условиям сделки покупателю был предоставлен доступ к консоли Barcode Scanner — тот пожелал вначале убедиться в работоспособности ключа подписи и пароля, а также добавить свою аналитику. В итоге 27 ноября на Google Play был выложен апдейт 1.67 — видимо, уже с вредоносным кодом, но еще под именем LavaBird. Обновление 1.68 появилось 4 декабря, и тогда же Barcode Scanner начал демонстрировать изменения в поведении.

Седьмого декабря сделка по купле-продаже была завершена. Новый владелец, The space team, выпустил Barcode Scanner 1.69, с той же зловредной функциональностью. К концу декабря злоумышленники начали прятать свой код, применяя обфускацию, и успели выпустить еще несколько обновлений до изгнания с Google Play.

К сожалению, покупатель в данном случае был найден по сарафанному радио, и LavaBird совершила ошибку, не проверив его благонадежность. В итоге ее репутация пострадала, а злоумышленники получили шанс протащить в магазин Google свой код в обход политик безопасности.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Сентября 2025 - 08:58

macOS Бэкдоры Домашние пользователи Корпорации Apple

ChillyHell: бэкдор для macOS четыре года оставался незамеченным

Исследователи из Jamf Threat Labs раскопали старый, но очень живучий зловред для macOS под названием ChillyHell. Оказалось, что этот модульный бэкдор спокойно распространялся как минимум с 2021 года — и всё это время был одобрен Apple и даже подписан легитимным разработчиком.

Что это значит? Всё просто: macOS воспринимала его как вполне безобидное приложение. Более того, вредоносный файл с 2021 года лежал на Dropbox в открытом доступе. Но в VirusTotal он попал только в мае 2025-го.

Впервые о ChillyHell заговорили ещё в 2023 году, когда Mandiant связала его с группой UNC4487. Но тогда вредонос тоже не попал в чёрные списки.

По данным исследователей, ChillyHell умеет:

закрепляться в системе через LaunchAgent, LaunchDaemon или подмену профиля оболочки (например, .zshrc);
использовать редкий для macOS приём timestomping — подгонять метки времени файлов под легитимные;
переключаться между разными C2-протоколами;
подгружать новые модули, брутфорсить пароли, собирать логины и разворачивать дополнительные атаки.

По словам экспертов, бэкдор создан, скорее всего, киберпреступной группировкой, а не для массовых заражений. Apple уже отозвала связанные с ним сертификаты, но сам факт, что вредонос четыре года ходил «под прикрытием» — тревожный сигнал.

Barcode Scanner стал зловредом при переходе в другие руки

Читайте также