Тема QR-кодов в последнее время только набирает актуальность. Кто-то даже видит в них зловредную метку, которая превращает человека в товар. Но в действительности — это просто способ графического представления цифровых данных.

Код может содержать какую-то последовательность цифр и букв, а значит, там можно сохранить ссылку на адрес в интернете или просто какой-то текст.

Узнать, что именно содержит QR-код, достаточно просто — нужно специальное приложение.

Для смартфонов таких приложений множество — заглянешь в Google Play, и не знаешь что выбрать.

Все они делают приблизительно одно и то же, а чем отличаются — непонятно. Складывается впечатление, что каждый уважающий себя программист считает своим долгом написать такое приложение и представить его на суд пользователей.

Правда, если вы начнёте устанавливать их, то выяснится, что делается это не ради спортивного интереса, а ради заработка — практически во всех таких приложениях размещена реклама, и иногда её столько, что приложением просто невозможно пользоваться.

Но хуже то, что некоторые приложения ещё и небезопасны. Компания ThreatFabric, работающая в области кибербезопасности, провела исследование, в ходе которого выявила в маркете Google Play 12 вредоносных приложений, нацеленных на похищение банковских данных.

Приложения были заявлены как сканеры QR-кодов, и после установки вполне нормально работали.

Однако ни антивирусы, ни проверка приложений Google Play, не могли обнаружить вредоносные функции, потому что их… не было. Приложения самостоятельно, под видом обновления, загружали на устройство вирус.

Интересно, что в зависимости от того, в какой стране использовалось приложение, загружались разные версии вируса. Российский вариант был направлен на получение доступа к информации из приложений Сбербанка, «Тинькофф», Почта-банка, ВТБ и других банковских приложений.

Приложения достаточно популярны — сканер QR-кодов от QrBarCode LDC было установлен более 50 тыс., а всего специалисты насчитали больше 300 тыс. установок.

Страницы приложения Free QR Code Scanner в Google Play. Сейчас это приложение уже удалено из маркета.

Сколько человек пострадало от действий вируса, загружаемого приложением, неизвестно. Сейчас эти приложения удалены из Google Play, но если кто-то их установил ранее, то они будут продолжать работать на его устройстве, пока их не удалят вручную.

Защититься от этого с одной стороны просто, а с другой — практически невозможно.

Как считывать QR-код, не прибегая к подозрительным приложениям

В Google Play загрузить приложение может любой желающий, и, загружая приложение от неизвестного разработчика, нельзя быть уверенным в его «чистоплотности».

Поэтому можно воспользоваться приложением либо от какого-то известного разработчика, например, своё приложение для считывания QR-кодов есть у Лаборатории Касперского, либо от производителя операционной системы — Google Lens или «Объектив».

Я создал QR-код, содержащий текст из предыдущего абзаца. Так этот QR-код распознаёт Google Lens.

Google Lens — это приложение от Google, которое умеет идентифицировать объекты по QR-кодам, штрихкодам, надписям и этикеткам. Для того, чтобы считать ссылку или отобразить текст, его вполне достаточно.

Плохо другое — угроза может таиться в любом приложении, которое вы устанавливаете из Google Play.

Как вирусы попадают в приложения, установленные из официального маркета

Приложения, которые попали в сферу внимания специалистов ThreatFabric существуют давно и успели собрать свою аудиторию. Вряд ли их создавали в целях распространения вредоносного кода. Скорее всего, разработчик думал на них заработать тем или иным способом, а потом продал их.

Такая ситуация не редкость. Я сам как-то создал простенькое приложение, которое решало одну конкретную задачу, и оказалось достаточно популярно. Как только счётчик загрузок перешагнул 10 тыс., мне стали приходить просьбы продать приложение.

Думаю, что большинство предложений поступало именно с целью его монетизации, каким-то способом — можно встроить рекламу (я этого сам не сделал), можно заставить приложение «майнить» криптовалюту, а можно дополнить её кодом, благодаря которому злоумышленники получат доступ к устройству или данным, которые на нём хранятся.

Такие предложения поступают всем разработчикам приложений, и пользователи никак не могут застраховать себя от этого.

Игра, в которую вы играете каждый день, записная книжка, неофициальный клиент для доступа к популярной соцсети, улучшенная версия популярного мессенджера — в какой-то момент все эти замечательные приложения могут сменить владельца и обзавестись новыми неожиданными возможностями.

Можно, конечно, посоветовать не пользоваться такими приложениями, но зачем тогда нужен смартфон, если им не пользоваться?

Наверное, самый лучший совет здесь — пользоваться платными приложениями, автор которых зарабатывает, продавая их. Так у него меньше будет соблазна продать его первому же покупателю. Ну и про антивирусы не забывайте.