Phát hiện 400 Trojans trên Google Play

Google Play là cửa hàng ứng dụng chính thống với nhiều bước kiểm tra và xét duyệt gắt gao. Thế nhưng người ta đã phát hiện có hơn 400 Trojans đã qua mặt cửa hàng ứng dụng này.

Chúng tôi thường khuyên người dùng Android tải ứng dụng từ cửa hàng ứng dụng chính thống. Tìm ứng dụng trên Google Play sẽ an toàn hơn bởi tất cả ứng dụng đều phải trải qua nhiều bước kiểm tra và xét duyệt trước khi chính thức được phát hành.

Dù sao đi nữa, các ứng dụng giả mạo đã thâm nhập vào Google Play đôi lần. Trong một phát hiện gần đây, hơn 400 ứng dụng trên Google Play (và gần 3,000 trên các chợ ứng dụng khác) đã bị qua mặt bởi Trojan DressCode.

Mã độc có cái tên khá buồn cười bởi lần phát hiện đầu tiên: Các nhà nghiên cứu đã tìm ra Trojan này lần đầu tiên vào tháng 8 năm 2016, trong một số ứng dụng game thời trang, một dạng game thay đổi áo quần phụ kiện rất phổ biến với các cô bé.

Một trong những trò chơi này đã được tải từ 100,000 đến 500,000 lần từ Google Play. Đồng thời, các ứng dụng khác cũng bị phát hiện nhiễm cùng 1 trojan. Vì vậy, hơn 400 ứng dụng bị nhiễm đã bị tìm thấy và khoảng 40 trong số đó trên Google Play. Các nhà nghiên cứu đã liên hệ Google, công ty đã tiến hành xóa những ứng dụng giả mạo khỏi cửa hàng. Nhưng đó chỉ mới là một con sâu nhỏ trong rừng…

Cùng lúc đó, một nhóm nghiên cứu khác đã bắt đầu hứng thú với Trojan này và quyết định đào sâu tìm kiếm ở nhiều cửa hàng ứng dụng khác. Và chỉ mới 2 – 3 ngày trước, nhóm tìm ra một lúc 3,000 ứng dụng bị nhiễm DressCode; hơn 400 trong số đó là từ Google Play.

Hầu hết các ứng dụng bị nhiễm là game hoặc các ứng dụng liên quan đến game – chẳng hạn như các ứng dụng mẹo chơi game và hướng dẫn game. Một lượng lớn phần mềm độc hại là các ứng dụng cải thiện tốc độ máy, tùy chỉnh máy và một số công cụ hữu dụng khác.

Hầu hết các ứng dụng bị nhiễm là game và ăn theo game

Vấn đề lớn nhất của DressCode đó chính là rất khó để phát hiện. Mã Trojan rất nhỏ so với mã lập trình của chương trình chứa nó. Đó hẳn là lý do mà các ứng dụng bị lây nhiễm này có thể dễ dàng lọt qua khỏi hàng rào kiểm duyệt gắt gao của Google Play.

DressCode làm gì?

Nói chung, mục tiêu chủ yếu của DressCode chính là thiết lập kết nối với máy chủ ra lệnh và kiểm soát. Thông thường, một khi kết nối với thiết lập, hệ thống máy chủ sẽ gửi lệnh xuống Trojan, để Trojan ngủ yên và việc phát hiện ngay lập tức hầu như là không thể. Một khi kẻ tấn công quyết định sử dụng thiết bị bị lây nhiễm này, chúng có thể đánh thức Trojan, để Trojan biến thiết bị đó kết nối mạng proxy và sử dụng điện thoại thông minh hoặc máy tính bảng đó gián tiếp qua Internet.

Tội phạm mạng hưởng lợi gì từ nó?

Thứ nhất, các thiết bị bị lây nhiễm có thể được sử dụng như một phần của botnet để ra lệnh ngầm đến một địa chỉ IP cụ thể. Phương pháp này cho phép bọn tội phạm tăng lưu lượng truy cập, nhấp vào banner và các liên kết trả tiền và thậm chí tấn công đánh sập một trang web cụ thể nào đó.

Thứ hai, nếu thiết bị bị lây nhiễm có thể kết nối với một số mạng liên kết riêng tư (như máy công ty, mạng ngân hàng…), kẻ tấn công có thể truy cập được vào đó và sử dụng thiết bị để đánh cắp những thông tin nhạy cảm, quan trọng.

Làm sao để tránh bị lây nhiễm?

Đây là một trong những trường hợp rất hiếm khi lời khuyên chỉ tải các ứng dụng tin cậy từ cửa hàng ứng dụng chính thống không đủ để đảm bảo an toàn. Đúng là, Google Play an toàn hơn so với các cửa hàng ứng dụng khác bởi con số thấp hơn nhiều, nhưng con số 400 một lúc quả là rất lớn. Bên cạnh đó, chúng sử dụng những game đắt khách như là Minecraft “GTA 5” với con số lượt tải lên đến hơn 500,000 lần.

Vì vậy chúng tôi xin tóm lại 2 điều cần lưu ý để tránh:

1. Phải hết sức cẩn trọng khi tải bất kỳ ứng dụng nào. Trước khi tải và cài đặt các ứng dụng lạ, hãy kiểm tra thật kỹ các bình luận từ người dùng, xem kỹ các quyền ứng dụng mà ứng dụng này đòi hỏi, và suy nghĩ thật kỹ. Không may là bạn cũng không thể tin tưởng hoàn toàn vào các bình luận từ Google Play (chi tiết bài viết), nhưng ít nhất chúng có thể cho chúng ta một số cái nhìn khách quan hơn về độ tin cậy của ứng dụng này.

2. Cài đặt một giải pháp bảo mật trên thiết bị di động của bạn. Kaspersky Antivirus & Security for Android có thể phát hiện DressCode dưới dạng HEUR:Backdoor.AndroidOS.Sobot.a. Nếu bạn đang sử dụng phiên bản trả tiền của phần mềm của chúng tôi, ứng dụng sẽ tự động quét tất cả các ứng dụng mới và chặn bất kỳ ứng dụng nào có chứa Dresscode trên thiết bị của bạn. Nếu bạn đang sử dụng phiên bản miễn phí, đừng quên quét thiết bị thường xuyên để phát hiện ra các nguy cơ cho máy nhé!

Minh Hương