-
Microsoft kêu gọi khách hàng bảo mật máy chủ Excha...
-
Hơn 134 triệu lượt tấn công các thiết bị IoT Realt...
-
Apple phát hành các bản cập nhật cho các thiết bị ...
-
Facebook giới thiệu các tính năng mới cho ứng dụng...
-
Mã độc Emotet trở lại và lợi hại hơn xưa
-
Cửa hàng ứng dụng Samsung Galaxy Store bị lỗ hổng ...
Hàng loạt ứng dụng trên Google Play dính mã độc lén cuỗm tiền của nạn nhân
Việc một hoặc nhiều ứng dụng có chứa phần mềm độc hại được tìm thấy trên Google Play vốn không phải điều gì quá mới mẻ hay hiếm gặp. Trong vài năm qua, Google đã không tiếc công đầu tư phát triển thuật toán bảo mật tiên tiến cho Play Store, nhưng việc ngăn chặn từ sớm các mối đe dọa một cách triệt để thực sự không hề đơn giản.
Maxime Ingrao, nhà nghiên cứu bảo mật tại công ty an ninh mạng quốc tế Evina, mới đây đã tiết lộ một chủng phần mềm độc hại mới, có thể lây nhiễm hiệu quả trên các ứng dụng Android trên Google Play. Mã độc này được đặt tên là Autolycos - từ đồng âm với một nhân vật trong thần thoại Hy Lạp, được biết đến với tài ăn trộm và lừa gạt. Đó cũng chính xác là những gì phần mềm độc hại này sẽ thực hiện khi lây nhiễm thành công vào hệ thống mục tiêu.
Tính từ thời điểm phát hiện ra mã độc vào tháng 6 năm 2021, Ingrao đã xác định được 8 ứng dụng bị lây nhiễm trên Play Store, với tổng cộng hơn 3 triệu lượt download - một con số đáng báo động.
Autolycos hoạt động thế nào?
Theo báo cáo sơ bộ từ Evina, mục tiêu chính của Autolycos sau khi lây nhiễm thành công trên thiết bị nạn nhân là âm thầm đăng ký sử dụng dịch vụ thanh toán Direct Carrier Billing (DCB) mà chủ sở hữu thiết bị hoàn toàn không hề hay biết hoặc không đồng ý.
Trái với phần mềm độc hại Joker nổi tiếng một thời trên Google Play, vốn hoạt động theo mô-típ khởi chạy trình duyệt ẩn và sử dụng Webview, Autolycus lại chọn cách thực hiện các yêu cầu http mà không cần sử dụng trình duyệt để thực thi hoạt động độc hại của mình.
Chỉ qua một vài bước, mã độc đã có thể thực thi các url trên trình duyệt từ xa và nhúng kết quả vào các yêu cầu http.
Dưới đây là cách Autolycos có thể truy cập mã PIN xác minh thông qua việc đọc thông báo của điện thoại:
Cách thức hoạt động tương đối độc đáo này cho phép Autolycos ẩn mình hiệu quả trước các giải pháp ngăn chặn từ Google. Sẽ rất khó để phân biệt các ứng dụng bị nhiễm với ứng dụng hợp pháp. Đó cũng chính là lý do tại sao mã độc đã không bị phát hiện trong một thời gian dài.
Để đánh lừa nhiều người nhất có thể, các nhóm hacker đứng sau vận hành Autolycos đã tích cực quảng bá ứng dụng chứa mã độc trên các nền tảng mạng xã hội, cũng như chạy nhiều ứng dụng Facebook và Instagram.
Ingrao đã xác định được ít nhất 74 chiến dịch quảng cáo liên quan đến các ứng dụng chứa mã độc này, nổi bật trong đó là Razer Keyboard & Theme.
Danh sách các ứng dụng chứa mã độc
Evina cũng đã chia sẻ một danh sách bao gồm tám ứng dụng được xác định có chứa phần mềm độc hại Autolycos, cụ thể như sau:
Razer Keyboard & Theme — 10,000+ lượt download
Vlog Star Video Editor — 1,000,000+ lượt download
Funny Camera — 500,000+ lượt dowload
Coco Camera — 1,000+ lượt download
Creative 3D Launcher — 1,000,000+ lượt downloads
GIF Keyboard — 100,000+ lượt download
Freeglow Camera — 5,000+ lượt downdoad
Wow Camera — 100,00+ lượt download
Maxime Ingrao cho biết ông đã báo cáo vấn đề với Google ngay từ tháng 6/2021. Tuy nhiên, khá khó hiểu khi phải mất tới 6 tháng trời để công ty Redmond bắt đầu xóa 6 ứng dụng đầu tiên. Đến ngày 13 tháng 7 năm nay, Google mới loại bỏ hai thứ cuối cùng trong danh sách: Funny Camera và Razer Keyboard & Theme. Điều này đã khiến Ingrao không hài lòng và lên tiếng chỉ trích công ty trên Twitter.
Theo The HackerNews
TIN CÙNG CHUYÊN MỤC
Microsoft kêu gọi khách hàng bảo mật máy...
Hơn 134 triệu lượt tấn công các thiết bị...
Apple phát hành các bản cập nhật cho các...
Facebook giới thiệu các tính năng mới ch...
Mã độc Emotet trở lại và lợi hại hơn xưa
Cửa hàng ứng dụng Samsung Galaxy Store b...
-
Kaspersky công bố người chiến thắng cuộc thi dành ...
-
Mẹo lưu hình ảnh trên trang web cấm nhấp chuột phả...
-
Trình duyệt nào tốn ít RAM và CPU nhất trên Window...
-
Microsoft phát hành bản vá lỗi tháng 1-2023 cảnh b...
-
Hướng dẫn cách xoá lịch sử tìm kiếm trên Facebook
-
Cập nhật ngay bản vá trên chip Qualcomm và Lenovo ...
-
Microsoft kêu gọi khách hàng bảo mật máy chủ Excha...
-
Hơn 134 triệu lượt tấn công các thiết bị IoT Realt...
-
Apple phát hành các bản cập nhật cho các thiết bị ...
-
Facebook giới thiệu các tính năng mới cho ứng dụng...
-
Mã độc Emotet trở lại và lợi hại hơn xưa
-
Cửa hàng ứng dụng Samsung Galaxy Store bị lỗ hổng ...
TAGS
LIÊN HỆ
