Google đã gỡ bỏ 10 ứng dụng “móc túi” người dùng của Android
Trong lịch sử công nghệ, android được biết là nền tảng phát triển nhanh nhất. Nó có hơn 1 tỉ người dùng. Android hỗ trợ người dùng khá nhiều trong công việc và cuộc sống. Trong quá trình sử dụng các điện thoại thông minh nói chung và của android nói riêng, chúng ta luôn cần download những ứng dụng phục vụ cho nhu cầu của mình. Tất nhiên, các ứng dụng vừa phục vụ được mục đích và miễn phí sẽ được ưu tiên sử dụng trước.
Vậy mà, ẩn dưới danh nghĩa miễn phí, nhiều ứng dụng di động lại tìm cơ hội, sử dụng mọi cách móc túi thuê bao. Những kẻ xấu đã sử dụng nhiều chiêu trò tinh vi mà người dùng không hề hay biết. Đặc biệt, với những người dùng có tính bất cẩn và tò mò là đối tượng dễ bị những kẻ xấu móc túi.
Mới đây Google đã gỡ bỏ 10 ứng dụng khởi kho ứng dụng Play Store. Bởi những ứng dụng này chứa các mã độc liên quan đến tài chính của người dùng. Các ứng dụng Android này có khả năng đến từ cùng một đối tượng xấu theo nhận định Check Point Research (CPR) trong một bài blog. Người này đã tiến hành tạo các tài khoản lập trình viên khác nhau cho từng ứng dụng.
Điểm chung của các phần mềm độc hại
10 ứng dụng Android độc hại mới bị phát hiện, ẩn giấu trong vẻ bề ngoài vô hại. Nhưng chúng có thể lấy trộm thông tin tài chính người dùng. Nhóm nghiên cứu báo cáo nhóm ứng dụng độc hại nói trên vào ngày 29/1. Ngày 9/2, Google xác nhận mã độc đã bị gỡ bỏ. Đồng thời ứng dụng đã nhận được gần 15.000 lượt cài trước khi bị gỡ bỏ.
Các ứng dụng bị gỡ bỏ lần này đều có điểm chung là thuộc thể loại ứng dụng tiện ích. Bao gồm Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner MAX, và QRecorder. Tính năng chính của các ứng dụng này đều được lấy từ các ứng dụng Android hợp lệ, mã nguồn mở.
Mặc dù Google đã gỡ những ứng dụng này. Tuy nhiên, mọi người khi cài đặt ứng dụng cần lưu ý phần đánh giá. Với những ứng dụng bị đánh giá quá thấp thì tốt nhất là không nên cài đặt. Bởi nó có thể mang lại những phiền phức cho bạn.
Các ứng dụng “móc túi” vô hại như thế nào?
Các ứng dụng trên đã tránh bị các bức tường bảo mật của Google phát hiện. Firebase của chúng được sử dùng làm nền tảng ra lệnh và kiểm soát (command-and-control, C2) của ứng dụng và GitHub bị tận dụng như một cách thức để tải về phần mềm độc hại.
Theo nhóm nghiên cứu, hạ tầng C2 được cài trong các ứng dụng. Các thông số của nó bao gồm các thông số – kích hoạt hoặc vô hiệu. Khả năng của chúng là quyết định xem liệu có nên chạy các chức năng độc hại trong ứng dụng nay không. Thông số này được cài đặt là “sai” (vô hiệu) cho đến khi Google xuất bản ứng dụng.
Mang tên gọi Clast82, CPR nói rằng các ứng dụng độc hại nói trên có khả năng khai thác các thông tin về tài chính của khách hàng. Khi được kích hoạt, loạt mã độc thứ hai sẽ được kéo về từ GitHub. Chúng lần lượt mang tên gọi mRAT và AlientBot.
Nếu thiết bị bị tấn công chặn cài ứng dụng từ các nguồn không đáng tin cậy, Clast82 sẽ liên tục đưa các các yêu cầu gỉa mạo dưới danh nghĩa Google Play Services . Sau đó yêu cầu người dùng cho phép cài đặt mỗi 5 giây,” CPR nói.
mRAT được sử dụng để cung cấp quyền truy cập từ xa với các thiết bị di động bị nhiễm mã độc. Còn AlientBot cho phép cài mã độc vào các ứng dụng tài chính. Kẻ xấu có thể tấn công ứng dụng ngân hàng để chiếm quyền truy cập tài sản. Đồng thời lấy trộm thông tin tài chính. Thậm chí kẻ xấu có thể can thiệp vào bảo mật hai lớp.
Nguồn: kienthuc.net.vn
