Tìm thấy hàng ngàn ứng dụng gián điệp trên Cửa hàng ứng dụng Android

Phát hiện mới đây có thể khiến người dùng Android hoang mang bởi các chuyên gia bảo mật vừa phát hiện thấy cả ngàn ứng dụng độc hại trên cửa hàng ứng dụng bên thứ ba và cả Google Play Store. Các ứng dụng độc hại này có thể thực hiện hầu hết các hành vi độc hại trên thiết bị lây nhiễm từ ngầm ghi âm cuộc gọi đến thực hiện cuộc gọi ngầm mà không cần sự cho phép của người dùng.

Ứng dụng gián điệp mang tên Sonic Spy này đã lây lan khắp các cửa hàng ứng dụng của Android ít nhất từ tháng Hai và phát tán dưới dạng một ứng dụng tin nhắn bởi chúng có khả năng cung cấp dịch vụ nhắn tin.

Sonic Spy có thể thực hiện hầu hết các tác vụ độc hại trên thiết bị của người dùng

Được biết, ứng dụng gián điệp SonicSpy có thể thực hiện cùng lúc nhiều tác vụ độc hại, bao gồm ngầm ghi âm cuộc gọi và âm thanh qua microphone, hijack camera và đánh cắp hình ảnh, thực hiện cuộc gọi mà không cần sự cho phép của người dùng, đồng thời gửi tin nhắn đến những số điện thoại lạ theo ý muốn của kẻ tấn công.

Bên cạnh đó, ứng dụng gián điệp này còn có thể đánh cắp nhiều thông tin quan trọng của người dùng bao gồm lịch sử cuộc gọi, danh bạ, thông tin về điểm truy cập Wi-Fi mà thiết bị kết nối nhằm tìm ra vị trí hiện tại của người dùng.

Hàng ngàn thiết bị đã bị lây nhiễm SonicSpy

Spyware này đã được các chuyên gia bảo mật của hãng bảo mật di động Lookout phát hiện, tìm thấy đến 3 phiên bản ứng dụng nhắn tin đã nhiễm SonicSpy trên cửa hàng ứng dụng chính thức Google Play Store và có đến hàng ngàn lượt tải về trước đó. Ước tính đã có hàng ngàn thiết bị đã bị lây nhiễm loại mã độc gián điệp nguy hiểm này.

Mặc dù 3 ứng dụng độc hại có dính SonicSpy (Soniac, Hulk Messenger và Troy Chat) đã bị Google gỡ khỏi cửa hàng ứng dụng Play Store, nhưng chúng vẫn còn tràn lan trên các cửa hàng ứng dụng khác của Android cùng với các ứng dụng đã nhiễm SonicSpy khác.

Rất có thể SonicSpy có liên quan đến Iraq

Các nhà nghiên cứu tin rằng mã độc gián điệp là có liên quan đến một nhà phát triển tại Iraq. Nguyên nhân là do sự tương đồng giữa SonicSpy và SpyNote – một mã độc Android khác đã bị phát hiện vào tháng 6 – 2016, giả dạng ứng dụng Netflix và được cho là tạo bởi một Hacker người Iraq. Một nhân tố khác đáng chú ý là tên tài khoản phát triển Soniac (ứng dụng nhiễm SonicSpy bị gỡ trước đó) mang tên “iraqiwebservice”.

SonicSpy có khả năng thâm nhập trở lại cửa hàng Play Store lần nữa

Mặc dù đã bị gỡ khỏi cửa hàng Play Store, các nhà bảo mật vẫn cảnh báo rằng khả năng thâm nhập trở lại của mã độc này vào Play Store bằng những tài khoản phát triển khác và dưới dạng ứng dụng khác là rất cao.

Trong khi Google đã sử dụng nhiều công cụ kiểm soát cũng như hàng rào bảo vệ để ngăn chặn ứng dụng độc hại đi qua cổng an ninh của Google, nhưng các ứng dụng độc hại vẫn có thể thiên biến vạn hóa để lách qua.

Chỉ trong tháng trước, trang tin TheHackerNews đã đưa ra cảnh báo về một loại mã độc tinh vi mang tên Xavier, phát hiện trong hơn 800 ứng dụng Android khác nhau với số lượt tải lên đến hàng triệu trên Google Play Store ngầm thu nhập thông tin nhạy cảm của người dùng và thực hiện nhiều tác vụ nguy hiểm.

Trong tháng 4, cũng có báo cáo về một Trojan ngân hàng tên BankBot đã lách qua cổng kiểm tra của Google Play Store và chiếm quyền kiểm soát thiết bị nạn nhân, thực hiện hàng tá các tác vụ độc hại, bao gồm đánh cắp thông tin đăng nhập ngân hàng.

Cũng trong tháng đó, hơn 2 triệu người dùng Android trở thành nạn nhân của mã độc FalseGuide ẩn nấp trong hơn 40 ứng dụng hướng dẫn cho các trò chơi nổi tiếng như Pokémon Go và FIFA Mobile trên cửa hàng Google Play Store.

Những phát hiện trên cho thấy hiện trạng Google cần phải mạnh mẽ hơn nữa trong cơ chế bảo mật cũng như kiểm duyệt ứng dụng trên Google Play Store từ nay về sau.

Người dùng cần phải làm gì để phòng tránh mã độc Android?

Cách tốt nhất để phòng vệ chính là luôn luôn cẩn trọng. Người dùng chỉ nên cài đặt ứng dụng từ các nhà phát triển đáng tin cậy, chỉ tải từ cửa hàng ứng dụng chính thức và luôn kiểm tra các đánh giá của người dùng trước đó. Luôn đọc kỹ các quyền hạn mà ứng dụng yêu cầu cho phép khi bắt đầu cài đặt ứng dụng.

Tuyệt đối không tải và cài đặt các ứng dụng từ bên thứ ba, từ các nguồn cửa hàng ứng dụng không chính thức, cũng như các thể loại ứng dụng đã mod, hack vì rất có thể các ứng dụng này có chứa mã độc.

Cuối cùng nhưng cũng không kém phần quan trọng, người dùng nên tự bảo vệ mình bằng cách trang bị cho thiết bị một giải pháp bảo mật diệt virus đáng tin cậy từ các nhà phát triển có uy tín trên thị trường. Các ứng dụng này sẽ hỗ trợ người dùng kịp thời phát hiện các ứng dụng, tập tin độc hại đang ngầm thâm nhập vào thiết bị và ngăn chặn cũng như cảnh báo cho người dùng. Hiện Kaspersky cũng đang có ứng dụng Kaspersky Internet Security for Android có thể bảo vệ người dùng khỏi những mối nguy cơ bảo mật mới nhất hiện nay. Người dùng có thể tải về dùng thử tại đây.

Minh Hương