Thêm 1 set các ứng dụng Android khác có Joker Trojan Resurfaces trên Cửa hàng Google Play

Trong một tin tức mới đây của HackerNews, một loạt các ứng dụng trojan mới đã được phát tán trên cửa hàng Google Play đã bị phát hiện khi đang cố gắng lây lan các phần mềm độc hại khét tiếng Joker trêm các thiết bị Android bị xâm nhập.

Joker vốn là một trojan khét tiếng về sự nguy hiểm đã được đề cập trước đây qua một loạt các ứng dụng độc hại sử dụng để gian lận thanh toán và SMS, đồng thời thực hiện một số hành động theo lựa chọn của kẻ tấn công độc hại, chẳng hạn như đánh cắp tin nhắn văn bản, danh sách liên hệ và thông tin thiết bị.

Bất chấp nỗ lực liên tục của Google để mở rộng quy mô phòng thủ của mình, các ứng dụng vẫn liên tục được lặp lại để tìm kiếm các lỗ hổng và lọt vào cửa hàng ứng dụng mà không bị phát hiện.

Nhà nghiên cứu Igor Golovin của Kaspersky cho biết: “Chúng thường được phát tán trên Google Play, nơi những kẻ lừa đảo tải xuống các ứng dụng hợp pháp từ cửa hàng, thêm mã độc vào chúng và tải lại chúng lên cửa hàng dưới một tên khác”, nhà nghiên cứu Igor Golovin của Kaspersky cho biết trong một báo cáo được công bố vào tuần trước.

Các ứng dụng trojanized, thay thế cho các ứng dụng bị loại bỏ của chúng, thường xuất hiện dưới dạng ứng dụng nhắn tin, theo dõi sức khỏe và máy quét PDF, sau khi được cài đặt, yêu cầu quyền truy cập tin nhắn văn bản và thông báo, lạm dụng chúng để đăng ký người dùng với các dịch vụ cao cấp.

Một thủ thuật lén lút được Joker sử dụng để vượt qua quy trình kiểm tra của Google Play là làm cho tải trọng độc hại của nó "không hoạt động" và chỉ kích hoạt các chức năng của nó sau khi các ứng dụng đã hoạt động trên Cửa hàng Play.

Ba trong số các ứng dụng bị nhiễm Joker được Kaspersky phát hiện đến cuối tháng 2 năm 2022 được liệt kê dưới đây. Mặc dù chúng đã bị xóa khỏi Google Play nhưng chúng vẫn tiếp tục có sẵn từ các nhà cung cấp ứng dụng bên thứ ba.

Style Message (com.stylelacat.messagearound),

Blood Pressure App (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health), and

Camera PDF Scanner (com.jiao.hdcam.docscanner)

Đây không phải là lần đầu tiên trojan được phát hiện trên các cửa hàng ứng dụng. Năm ngoái, các ứng dụng cho Cửa hàng ứng dụng APKPure và một bản mod WhatsApp được sử dụng rộng rãi đã bị phát hiện bị xâm nhập với phần mềm độc hại có tên là Triada.

Sau đó vào tháng 9 năm 2021, Zimperium đã kết thúc một kế hoạch kiếm tiền tích cực có tên GriftHorse, theo sau nó là một trường hợp lạm dụng dịch vụ cao cấp khác có tên là Dark Herring vào đầu tháng 1 này.

“Trojan đăng ký có thể vượt qua sự phát hiện của bot trên các trang web cho các dịch vụ trả phí và đôi khi chúng đăng ký người dùng vào các dịch vụ không tồn tại của chính những kẻ lừa đảo,” Golovin nói. "Để tránh đăng ký không mong muốn, hãy tránh cài đặt ứng dụng từ các nguồn không chính thức, đây là nguồn phần mềm độc hại thường xuyên nhất."

Ngay cả khi tải xuống ứng dụng từ các cửa hàng ứng dụng chính thức, người dùng nên đọc các bài đánh giá, kiểm tra tính hợp pháp của nhà phát triển, điều khoản sử dụng và chỉ cấp các quyền cần thiết để thực hiện các chức năng đã định.

"Phần mềm độc hại Joker là một ví dụ rõ ràng về trò chơi mèo vờn chuột đã xảy ra trong nhiều năm giữa các lớp bảo mật và các tác nhân độc hại đằng sau nó", Richard Melick, giám đốc báo cáo mối đe dọa tại Zimperium, cho biết trong một tuyên bố chia sẻ với The Hacker News.

"Với mỗi bản cập nhật, điều đó chứng minh hết lần này đến lần khác rằng bảo mật cơ bản và quản lý thiết bị di động là chưa đủ. Dựa vào giả mạo và nhân bản ứng dụng, Joker tiếp tục thực hiện lặp đi lặp lại các bản cập nhật và cải tiến để có thể vượt qua OEM và bảo mật cơ bản , khiến điểm cuối di động và người dùng gặp rủi ro. "

Hương – Theo TheHackerNews