逾千萬人下載的Android程式Barcode Scanner透過更新夾帶惡意廣告程式

資安業者Malwarebytes近日警告，Google Play上的免費條碼掃碼程式Barcode Scanner被植入了惡意廣告程式，它會自行啟動Android的預設瀏覽器，並展示推銷其它Android程式的廣告。全球有超過1千萬名Android用戶安裝了該程式，就算Google已將該程式自Google Play上移除，但倘若使用者手機還裝有該程式，便會持續受到大量廣告的騷擾。

使用者在Malwarebytes的論壇上抱怨手機老是自動連至奇怪的網站並跳出廣告，而且最近並未安裝新程式，在研究人員展開調查之後，才發現是Barcode Scanner在作怪。

研究人員發現，問世多年的Barcode Scanner應該是在去年12月的更新時植入了惡意廣告程式。一般而言，出現在行動程式中的惡意廣告有兩種來源，一是夾帶了惡意的廣告SDK，二是開發者變更了程式碼，根據Malwarebytes的分析，答案是後者，而且原本懷疑該程式是因為被轉手才被嵌入惡意廣告程式碼，結果該程式不管是開發者或是所使用的憑證都與原先的無害程式無異。

此一熱門的免費條碼掃描程式已被Google移除，但Malwarebytes提醒，若使用者手機上還有該程式，就會不斷面臨突然跳出的瀏覽器及廣告，只有將它移除才能杜絕後患。

Google Play上有眾多的條碼掃描程式，此一夾帶惡意廣告程式的Barcode Scanner是由LavaBird LTD所打造，值得注意的是，LavaBird在Google Play上還推出了其它的程式，使用者在安裝相關程式時可能必須多加小心。