Можно выбрать популярную реализацию qr-code, и попробовать fuzzing для поиска уязвимостей. Теоретически возможно создать вирус, который начинает реплицироваться, достаточно только увидеть его камерой. В оптимизации вирусного кода снова появился смысл - qr-код может содержать максимум 7Кб цифр.

а каким образом проводить? программы, распознающие этот штрих-код, стоят на телефонах самые разные - от тех, что юзер ставил сам, их много, и до встроенных функций распознавания фотоаппаратов, которые тоже разнятся.

Например, в Android OS наверняка реализация единая. Можно переработать идею - добавлять небольшой qrcode со ссылкой на бинарник/експлойт в процессе выгрузки фотографий в соц. сети. Или действовать решительно - заблокировать систему, с сопровождающим сообщением "покажи картинку двум друзьям" :)

насчет сплойтов под андроид я не в теме, но по идее для запуска бинарника нужно чтобы девайс был рутованный - вряд ли обычная система даст приложению себя ковырять. в целом идея довольно интересная, но проблема в эффективной реализации.

Продолжая концепт: создать огромный QR на Google Maps со ссылкой на malware/banned, или же сохранить в нем небольшое текстовое послание (кажется, до 7Кб). В qr можно проследить сходные черты со свастикой: теперь каждое движение может обладать собственным опознавательным знаком. Если бы Чарльз Мэнсон в молодые годы обзавелся доменом, он мог бы смело вырезать на лбу qr :)

Шеллкод написать в QR ну может и можно, но вообше недумаю что удастья сделать не что больше чем зависание системы при распозновании специального кода