Cửa hàng app lớn thứ hai sau Google Play bị tin tặc hack để phát tán mã độc

APKPure, một trong những cửa hàng ứng dụng trực tuyến lớn nhất thế giới, một nền tảng có thể thay thế Google Play Store, đã được xác định nhiễm một chủng phần mềm độc hại nguy hiểm.

Hành vi tấn công táo tợn này cho phép các tác nhân đe dọa tích cực phân phối mã độc Trojan tới các thiết bị Android download ứng dụng từ APKPure, từ đó có thể dẫn đến một chiến dịch lây nhiễm quy mô lớn, gây thiệt hại khó lường.

Cụ thể hơn theo kết quả điều tra ban đầu của các nhà nghiên cứu đến từ Doctor Web và Kaspersky, ứng dụng khách APKPure phiên bản 3.17.18 được cho là đã bị giả mạo, đính kèm mã độc. Đồng thời, hacker cũng sẽ cố gắng đánh lừa người dùng tải xuống và cài đặt các ứng dụng độc hại được liên kết với mã độc tích hợp trong ứng dụng APKpure.

"Trojan này thuộc họ phần mềm độc hại Android.Triada nguy hiểm, sở hữu khả năng tải xuống, cài đặt và gỡ cài đặt phần mềm mà không cần sự cho phép của người dùng", nhóm nghiên cứu Doctor Web cho biết.

Theo các chuyên gia Kaspersky, phiên bản APKPure 3.17.18 đã bị tinh chỉnh một cách có chủ ý để tích hợp SDK quảng cáo hoạt động như một công cụ phát tán Trojan, được thiết kế để cung cấp loại phần mềm độc hại khác đến thiết bị của nạn nhân. "Thành phần này có thể thực hiện một số tác vụ như: hiển thị quảng cáo trên màn hình khóa; mở các tab trình duyệt; thu thập thông tin về thiết bị; và khó chịu nhất là tải xuống phần mềm độc hại khác", một nhà nghiên cứu Kaspersky cho biết.

Để khắc phục tình hình, phía APKPure cũng đã phát hành phiên bản mới cho ứng dụng (phiên bản 3.17.19) vào ngày 9 tháng 4 để loại bỏ thành phần độc hại. Các nhà phát triển đứng sau nền tảng phân phối ứng dụng cho biết trong ghi chú phát hành rằng họ "Đã khắc phục sự cố bảo mật tiềm ẩn, làm cho APKPure trở về trạng thái an toàn".

APKPure không phải là cửa hàng ứng dụng Android của bên thứ ba duy nhất bị lây nhiễm phần mềm độc hại. Đầu tuần này, các nhà nghiên cứu của Doctor Web cũng đã tìm thấy 10 ứng dụng bị xâm nhập bởi trojan Joker (Bread) trên nền tảng AppGallery của Huawei. Đây cũng là lần đầu tiên mềm độc hại được phát hiện trong cửa hàng ứng dụng chính thức của công ty Trung Quốc này.

Các ứng dụng bị lây nhiễm mã độc thường đi kèm với mã ẩn cho phép nó kết nối với máy chủ ra lệnh và điều khiển (C2 server) được vận hành bởi những kẻ tấn công, để tải xuống các payload bổ sung trên thiết bị bị lây nhiễm.

Ngoài ra, các nhà nghiên cứu cho biết cũng đã có “một vài phiên bản khác của Android.Joker” được phát tán trên Google Play. Chúng được tìm thấy trong các ứng dụng như Shape Your Body Magical Pro, PIX Photo Motion Maker và một vài cái tên khác. Tất cả các ứng dụng này đều đã bị xóa khỏi Play Store.

Theo The HackerNews