Hàng loạt ứng dụng trên Google Play dính mã độc lén cuỗm tiền của nạn nhân

www.tuoitre.vn -   31/08/2022 12:00:00 457

Việc một hoặc nhiều ứng dụng có chứa phần mềm độc hại được tìm thấy trên Google Play vốn không phải điều gì quá mới mẻ hay hiếm gặp. Trong vài năm qua, Google đã không tiếc công đầu tư phát triển thuật toán bảo mật tiên tiến cho Play Store, nhưng việc ngăn chặn từ sớm các mối đe dọa một cách triệt để thực sự không hề đơn giản.

Hàng loạt ứng dụng trên Google Play dính mã độc lén cuỗm tiền của nạn nhân

Maxime Ingrao, nhà nghiên cứu bảo mật tại công ty an ninh mạng quốc tế Evina, mới đây đã tiết lộ một chủng phần mềm độc hại mới, có thể lây nhiễm hiệu quả trên các ứng dụng Android trên Google Play. Mã độc này được đặt tên là Autolycos - từ đồng âm với một nhân vật trong thần thoại Hy Lạp, được biết đến với tài ăn trộm và lừa gạt. Đó cũng chính xác là những gì phần mềm độc hại này sẽ thực hiện khi lây nhiễm thành công vào hệ thống mục tiêu.

Tính từ thời điểm phát hiện ra mã độc vào tháng 6 năm 2021, Ingrao đã xác định được 8 ứng dụng bị lây nhiễm trên Play Store, với tổng cộng hơn 3 triệu lượt download - một con số đáng báo động.

Autolycos hoạt động thế nào?

Theo báo cáo sơ bộ từ Evina, mục tiêu chính của Autolycos sau khi lây nhiễm thành công trên thiết bị nạn nhân là âm thầm đăng ký sử dụng dịch vụ thanh toán Direct Carrier Billing (DCB) mà chủ sở hữu thiết bị hoàn toàn không hề hay biết hoặc không đồng ý.

Trái với phần mềm độc hại Joker nổi tiếng một thời trên Google Play, vốn hoạt động theo mô-típ khởi chạy trình duyệt ẩn và sử dụng Webview, Autolycus lại chọn cách thực hiện các yêu cầu http mà không cần sử dụng trình duyệt để thực thi hoạt động độc hại của mình.

Chỉ qua một vài bước, mã độc đã có thể thực thi các url trên trình duyệt từ xa và nhúng kết quả vào các yêu cầu http.

Hàng loạt ứng dụng trên Google Play dính mã độc lén cuỗm tiền của nạn nhân

Dưới đây là cách Autolycos có thể truy cập mã PIN xác minh thông qua việc đọc thông báo của điện thoại:

Cách thức hoạt động tương đối độc đáo này cho phép Autolycos ẩn mình hiệu quả trước các giải pháp ngăn chặn từ Google. Sẽ rất khó để phân biệt các ứng dụng bị nhiễm với ứng dụng hợp pháp. Đó cũng chính là lý do tại sao mã độc đã không bị phát hiện trong một thời gian dài.

Để đánh lừa nhiều người nhất có thể, các nhóm hacker đứng sau vận hành Autolycos đã tích cực quảng bá ứng dụng chứa mã độc trên các nền tảng mạng xã hội, cũng như chạy nhiều ứng dụng Facebook và Instagram.

Ingrao đã xác định được ít nhất 74 chiến dịch quảng cáo liên quan đến các ứng dụng chứa mã độc này, nổi bật trong đó là Razer Keyboard & Theme.

Danh sách các ứng dụng chứa mã độc

Evina cũng đã chia sẻ một danh sách bao gồm tám ứng dụng được xác định có chứa phần mềm độc hại Autolycos, cụ thể như sau:

Razer Keyboard & Theme — 10,000+ lượt download

Vlog Star Video Editor — 1,000,000+ lượt download

Funny Camera — 500,000+ lượt dowload

Coco Camera — 1,000+ lượt download

Creative 3D Launcher — 1,000,000+ lượt downloads

GIF Keyboard — 100,000+ lượt download

Freeglow Camera — 5,000+ lượt downdoad

Wow Camera — 100,00+ lượt download

Maxime Ingrao cho biết ông đã báo cáo vấn đề với Google ngay từ tháng 6/2021. Tuy nhiên, khá khó hiểu khi phải mất tới 6 tháng trời để công ty Redmond bắt đầu xóa 6 ứng dụng đầu tiên. Đến ngày 13 tháng 7 năm nay, Google mới loại bỏ hai thứ cuối cùng trong danh sách: Funny Camera và Razer Keyboard & Theme. Điều này đã khiến Ingrao không hài lòng và lên tiếng chỉ trích công ty trên Twitter.

Theo The HackerNews

 

 

TIN CÙNG CHUYÊN MỤC

Tesla bị rò rỉ 100GB dữ liệu, đối mặt ng...

30/05/2023 12:00:00 60
Thủ phạm gây ra của vụ rò rỉ dữ liệu này của Tesla là một nhân viên cũ bất mãn với công ty.

Dịch vụ đồng bộ ảnh trực tuyến My Photo ...

29/05/2023 12:00:00 44
Vai trò của của My Photo Stream dần trở nên dư thừa sau khi iCloud Photos xuất hiện, có thể hỗ trợ t...

Nhân viên IT bảo mật giả hacker tống tiề...

26/05/2023 12:00:00 26
Nhân viên IT tạo một địa chỉ email gần giống của hacker trước đó, và gửi thư cho CEO yêu cầu trả tiề...

Kaspersky chia sẻ các cách giúp đội ngũ ...

25/05/2023 08:00:00 58
Cảm thấy kiệt sức vì những công việc lặp đi lặp lại, trở nên kém tập trung hơn trong công việc hoặc ...

Trình duyệt Google Chrome có đang nghe l...

25/05/2023 12:00:00 27
Vì vấn đề này có liên quan đến sự an toàn và quyền riêng tư của mọi người nên nó cần phải được xem x...

Lỗ hổng mới trong Plugin WordPress được ...

24/05/2023 08:00:00 101
Một lỗ hổng bảo mật đã được tiết lộ trong plugin WordPress phổ biến Essential Addons cho Elementor c...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ