Обычный квадрат из чёрных пикселей постепенно превращается в инструмент хакерской атаки. Эксперты подразделения Unit 42 из Palo Alto Networks показали, как QR-коды используются для обхода привычных механизмов защиты и перехвата контроля над аккаунтами, в том числе от Telegram, без долгих уговоров и «звонков из банка».
Всё достаточно просто. Человек видит код в рекламе, на сайте или в приложении, наводит камеру смартфона — и оказывается за пределами привычного защитного периметра. Дальше запускаются более уязвимые процессы уже на личном устройстве, где корпоративные фильтры и антивирусы часто бессильны.
Аналитики Unit 42 описали три основные техники.
Первая связана с сервисами, которые одновременно генерируют QR-код и сокращают ссылку. Визуально всё выглядит безопасно, но переход ведёт не на конечный ресурс, а на промежуточный адрес с цепочкой перенаправлений. Владелец такой конструкции может в любой момент сменить конечную точку. По данным телеметрии Unit 42, фиксируется более 11 000 срабатываний на вредоносные QR-коды в сутки. При офлайн-сканировании веб-страниц специалисты ежедневно обнаруживают около 75 000 кодов, и примерно 15% страниц содержат элементы, ведущие на опасные ресурсы.
Вторая техника — использование deep link. Это ссылки, которые открывают конкретный экран внутри мобильного приложения и запускают действие без классического веб-перехода. Такой маршрут сложнее анализировать стандартными сканерами, поскольку итоговое действие скрыто внутри приложения. Встречаются сценарии, где после сканирования пользователь оказывается на экране авторизации в мессенджере, видит предложение привязать новое устройство или инициировать платёж. В выборке Unit 42 около 3% QR-кодов содержали deep link. Чаще всего фигурировали Telegram, XHS Discover и Line. Также зафиксированы примеры атак на Signal и WhatsApp через механизмы подключения дополнительных устройств.
Третья — обход фильтров магазинов приложений. Исследователи выявили 59 000 страниц, где QR-коды вели на прямую загрузку Android-приложений в формате APK. В общей сложности обнаружено 1 457 уникальных файлов. Существенная доля подобных раздач связана с азартными сервисами. Установщики при этом запрашивают права, которые выглядят чрезмерными для заявленной функции — доступ к камере, геолокации, внутреннему хранилищу.
Отдельное внимание в отчёте уделено отраслевой статистике. В атаках с использованием сокращённых ссылок 29% случаев приходятся на финансовый сектор. Далее следуют компании из сферы высоких технологий с 19% и сегмент оптовой и розничной торговли с 14%. При этом в общем массиве легитимного трафика финансовые QR-ссылки занимают меньшую долю, что говорит о прицельном интересе злоумышленников к этой сфере.
