Tin tặc can thiệp vào cửa hàng ứng dụng APKPure để lây lan các phần mềm ứng dụng độc hại

APKPure là một trong những cửa hàng ứng dụng lớn và phổ biến ngoài Google Play Store, đã bị lây nhiễm mã độc tuần này, cho phép các tác nhân gây hại phân phối, lây lan Trojans đến các thiết bị Android.

Trong một cuộc tấn công chuỗi cung ứng tương tự như vụ tấn công của nhà sản xuất thiết bị viễn thông Đức Gigaset, ứng dụng khách APKPure phiên bản 3.17.18 được cho là đã bị giả mạo nhằm lừa người dùng không nghi ngờ tải xuống và cài đặt các ứng dụng độc hại liên kết với mã độc hại được tích hợp sẵn. ứng dụng APKpure.

Sự phát triển đã được báo cáo bởi các nhà nghiên cứu từ Doctor Web và Kaspersky.

Các nhà nghiên cứu của Doctor Web cho biết: “Trojan này thuộc họ phần mềm độc hại Android.Triada nguy hiểm có khả năng tải xuống, cài đặt và gỡ cài đặt phần mềm mà không cần sự cho phép của người dùng”.

Theo Kaspersky, phiên bản APKPure 3.17.18 đã được tinh chỉnh để kết hợp SDK quảng cáo hoạt động như một công cụ nhỏ giọt Trojan được thiết kế để cung cấp phần mềm độc hại khác đến thiết bị của nạn nhân. "Thành phần này có thể thực hiện một số việc: hiển thị quảng cáo trên màn hình khóa; mở các tab trình duyệt; thu thập thông tin về thiết bị; và khó chịu nhất là tải xuống phần mềm độc hại khác", Igor Golovin của Kaspersky cho biết.

Theo như báo cáo, APKPure đã phát hành phiên bản mới của ứng dụng (bản 3.17.19) vào ngày 9/4 đã gở bỏ nhân tố độc hại “ sửa lỗi bảo mật, giúp cho APKPure an toàn hơn để sử dụng” nhà phát triển ứng dụng APKPure cho biết trong note cập nhật.

Phần mềm độc hại Joker xâm nhập Huawei AppGallery

APKPure không phải là ứng dụng Android bên thứ ba duy nhất gặp phải tình trạng bị tấn công bởi mã độc. Trong đầu tuần trước, các chuyên gia bảo mật của Doctor Web đã tiết lộ phát hiện hơn 10 ứng dụng với Joker trojan trong Huawei’s AppGallery, trở thành mã độc  lần đầu tiên được phát hiện trong cửa hàng ứng dụng chính thức của công ty.

Các ứng dụng mồi nhử, có dạng bàn phím ảo, máy ảnh và các ứng dụng nhắn tin từ ba nhà phát triển khác nhau đi kèm với các mã độc ẩn để kết nối với máy chủ lệnh và điều khiển C2 để tải xuống các trình bổ sung đăng ký tự động thiết bị đến các dịch vụ di động cao cấp mà họ không biết.

Mặc dù danh sách ứng dụng đã ẩn trông AppGallery, người dùng đã tải các ứng dụng này bên trong thiết bị cũng sẽ vẫn chịu sự ảnh hưởng và đối diện với nguy cơ bảo mật nếu như họ còn để chúng tồn tại trong điện thoại. Danh sách các ứng dụng độc hại bên dưới.

• Super Keyboard (com.nova.superkeyboard)
• Happy Colour (com.colour.syuhgbvcff)
• Fun Color (com.funcolor.toucheffects)
• New 2021 Keyboard (com.newyear.onekeyboard)
• Camera MX – Photo Video Camera (com.sdkfj.uhbnji.dsfeff)
• BeautyPlus Camera (com.beautyplus.excetwa.camera)
• Color RollingIcon (com.hwcolor.jinbao.rollingicon)
• Funney Meme Emoji (com.meme.rouijhhkl)
• Happy Tapping (com.tap.tap.duedd)
• All-in-One Messenger (com.messenger.sjdoifo)

Ngoài ra, các nhà nghiên cứu cho biết cùng một khối lượng phần mềm độc hại đã được "sử dụng bởi một số phiên bản khác của Android.Joker, chúng đã được phát tán, trong số những nơi khác, chẳng hạn như trên Google Play, bởi các ứng dụng như Shape Your Body Magical Pro, PIX Photo Motion Maker và các ứng dụng khác. " Tất cả các ứng dụng đã bị xóa khỏi Play Store.

Hương – Theo The Hacker News