Навели камеру — и остались без Telegram. QR-коды — это новый «звонок из службы безопасности банка»

Привычные QR-коды, которые всё чаще встречаются в рекламе, на сайтах и в приложениях, постепенно превращаются в удобный инструмент не только для бизнеса, но и для злоумышленников. Команда Unit 42 компании Palo Alto Networks описала, как атакующие используют QR-коды, чтобы увести жертву за пределы привычных защитных контуров и задействовать более уязвимые сценарии на личных смартфонах.

Авторы отчёта выделили три наиболее заметных приёма. Первый связан с сервисами, которые совмещают генерацию QR-кода и сокращение ссылок. Такой QR-код ведёт не на конечный сайт, а на промежуточный адрес с перенаправлениями, причём владелец может быстро сменить конечную точку. По данным телеметрии Unit 42, в среднем фиксируется свыше 11 тысяч срабатываний на вредоносные QR-коды в сутки. В офлайн-обходе веб-страниц специалисты находят около 75 тысяч QR-кодов ежедневно, и примерно 15 процентов таких страниц содержат коды, ведущие на опасные ссылки.

Второй приём — встраивание deep link, то есть ссылок, которые открывают конкретный экран внутри мобильного приложения и запускают действие без обычного веб-перехода. Это усложняет анализ, так как стандартные веб-сканеры часто не видят, что именно произойдёт после сканирования. Встречаются сценарии, где deep link подталкивает к авторизации в мессенджере, привязке устройства, отправке сообщения или переходу к платёжному действию. В выборке Unit 42 доля deep link в QR-кодах составила около трёх процентов, при этом чаще всего попадались ссылки для Telegram, XHS Discover и Line. Также описаны примеры атак на Signal и WhatsApp через механизмы привязки устройств.

Третий риск связан с попытками обойти проверки магазинов приложений. Аналитики обнаружили 59 тысяч страниц, где QR-коды вели на прямую загрузку Android-приложений в формате APK, всего насчитали 1457 уникальных файлов. Значительную часть таких раздач связывают с азартными сервисами, где установщик запрашивает права, которые выглядят избыточными для заявленной функции, включая доступ к камере, геолокации и хранилищу.

Отдельно в отчёте отмечают отраслевую картину для атак с компрометацией QR-кодов через сервисы сокращения ссылок: на финансовый сектор пришлись 29 процентов таких случаев, далее идут высокие технологии с 19 процентами и оптовая и розничная торговля с 14 процентами. При этом доля финансовых QR-ссылок в общем трафике заметно ниже, что подчёркивает целенаправленность злоупотреблений.

В Palo Alto Networks связывают рост квишинга с тем, что QR-коды стали рутиной, а мобильные сценарии дают злоумышленникам больше способов спрятать конечную цель за перенаправлениями и действиями внутри приложений.