Ứng dụng độc hại sử dụng kỹ thuật tạo phiên bản lén lút để vượt qua máy quét cửa hàng Google Play

Những kẻ đe dọa đang tận dụng một kỹ thuật gọi là lập phiên bản để trốn tránh việc phát hiện phần mềm độc hại của Cửa hàng Google Play và nhắm mục tiêu vào người dùng Android.

Nhóm hành động an ninh mạng của Google (GCAT) cho biết trong Báo cáo chân trời mối đe dọa tháng 8 năm 2023 được chia sẻ với The Hacker News: “Các chiến dịch sử dụng phiên bản thường nhắm mục tiêu thông tin xác thực, dữ liệu và tài chính của người dùng”.

Mặc dù việc lập phiên bản không phải là một hiện tượng mới nhưng nó diễn ra lén lút và khó phát hiện. Theo phương pháp này, nhà phát triển sẽ phát hành phiên bản đầu tiên của ứng dụng trên Cửa hàng Play, phiên bản này đã vượt qua quá trình kiểm tra trước khi xuất bản của Google nhưng sau đó được cập nhật với thành phần phần mềm độc hại.

Điều này đạt được bằng cách đẩy một bản cập nhật từ máy chủ do kẻ tấn công kiểm soát để phân phát mã độc trên thiết bị người dùng cuối bằng phương pháp gọi là tải mã động (DCL), biến ứng dụng thành một cửa sau một cách hiệu quả.

Đầu tháng 5 này, ESET đã phát hiện ra một ứng dụng ghi màn hình có tên "iRecorder - Screen Recorder" vẫn vô hại trong gần một năm sau khi nó được tải lên Play Store lần đầu tiên trước khi những thay đổi độc hại được đưa ra nhằm ngấm ngầm theo dõi người dùng.

Một ví dụ khác về phần mềm độc hại sử dụng phương pháp DCL là SharkBot, phần mềm này đã nhiều lần xuất hiện trên Play Store bằng cách giả dạng ứng dụng bảo mật và tiện ích.

SharkBot là một trojan tài chính thực hiện chuyển tiền trái phép từ các thiết bị bị xâm nhập bằng giao thức Dịch vụ chuyển tiền tự động (ATS).

Các ứng dụng nhỏ giọt xuất hiện trên mặt tiền cửa hàng có chức năng bị giảm bớt, sau khi được nạn nhân cài đặt, họ sẽ tải xuống phiên bản đầy đủ của phần mềm độc hại nhằm thu hút ít sự chú ý hơn.

"Trong môi trường doanh nghiệp, việc lập phiên bản thể hiện sự cần thiết của các nguyên tắc bảo vệ chuyên sâu, bao gồm nhưng không giới hạn ở việc giới hạn nguồn cài đặt ứng dụng ở các nguồn đáng tin cậy như Google Play hoặc quản lý thiết bị của công ty thông qua nền tảng quản lý thiết bị di động (MDM)," công ty cho biết.

Theo KrebsOnSecurity, phát hiện này được đưa ra khi ThreatFabric tiết lộ rằng những kẻ cung cấp phần mềm độc hại đã khai thác một lỗi trong Android để coi các ứng dụng độc hại là lành tính bằng cách "làm hỏng các thành phần của ứng dụng" để toàn bộ ứng dụng vẫn hợp lệ, theo KrebsOnSecurity.

Công ty an ninh mạng Hà Lan lưu ý vào tháng 6: “Các tác nhân có thể có một số ứng dụng được xuất bản trong cửa hàng cùng lúc bằng các tài khoản nhà phát triển khác nhau, tuy nhiên, chỉ một ứng dụng hoạt động độc hại, trong khi ứng dụng còn lại là bản sao lưu sẽ được sử dụng sau khi gỡ bỏ”.

“Chiến thuật như vậy giúp các tác nhân duy trì các chiến dịch rất dài, giảm thiểu thời gian cần thiết để xuất bản một kênh nhỏ giọt khác và tiếp tục chiến dịch phân phối.”

Để giảm thiểu mọi rủi ro tiềm ẩn, người dùng Android nên dựa vào các nguồn đáng tin cậy để tải xuống ứng dụng và bật Google Play Protect để nhận thông báo khi tìm thấy ứng dụng có khả năng gây hại (PHA) trên thiết bị.

Hương – Theo TheHackerNews