Google mới đây gỡ bỏ 10 ứng dụng khởi kho ứng dụng Play Store vì chứa các mã độc liên quan đến tài chính của người dùng. Cụ thể, Check Point Research (CPR) nói trong một bài blog rằng các ứng dụng Android này dường như đến từ cùng một đối tượng xấu. Người này tạo các tài khoản lập trình viên khác nhau cho mỗi ứng dụng.
Các phần mềm độc hại được “ẩn giấu” trong các ứng dụng có vẻ ngoài vô hại. Các ứng dụng bị gỡ bỏ lần này đều thuộc thể loại ứng dụng tiện ích, bao gồm Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner MAX, và QRecorder. Tính năng chính của các ứng dụng này đều được lấy từ các ứng dụng Android hợp lệ, mã nguồn mở.
|
Google mới đây gỡ bỏ 10 ứng dụng khởi kho ứng dụng Play Store vì chứa các mã độc liên quan đến tài chính của người dùng. Ảnh: Android Authority. |
Để tránh bị các bức tường bảo mật của Google phát hiện, Firebase được sử dùng làm nền tảng ra lệnh và kiểm soát (command-and-control, C2) của ứng dụng và GitHub bị tận dụng như một cách thức để tải về phần mềm độc hại.
Theo nhóm nghiên cứu, hạ tầng C2 được cài trong các ứng dụng bao gồm các thông số - kích hoạt hoặc vô hiệu - với khả năng quyết định xem liệu có nên chạy các chức năng độc hại trong ứng dụng nay không. Thông số này được cài đặt là “sai” (vô hiệu) cho đến khi Google xuất bản ứng dụng.
Mang tên gọi Clast82, CPR nói rằng các ứng dụng độc hại nói trên có khả năng khai thác các thông tin về tài chính của khách hàng. Khi được kích hoạt, loạt mã độc thứ hai sẽ được kéo về từ GitHub và lần lượt mang tên gọi mRAT và AlientBot.
“Nếu thiết bị bị tấn công chặn cài ứng dụng từ các nguồn không đáng tin cậy, Clast82 sẽ liên tục đưa các các yêu cầu gỉa mạo dưới danh nghĩa Google Play Services và yêu cầu người dùng cho phép cài đặt mỗi 5 giây,” CPR nói.
mRAT được sử dụng để cung cấp quyền truy cập từ xa với các thiết bị di động bị nhiễm mã độc trong khi đó AlientBot cho phép cài mã độc vào các ứng dụng tài chính. Kẻ xấu có thể tấn công ứng dụng ngân hàng để chiếm quyền truy cập tài sản, lấy trộm thông tin tài chính và thậm chí có thể can thiệp vào bảo mật hai lớp.
Nhóm nghiên cứu báo cáo nhóm ứng dụng độc hại nói trên vào ngày 29/1. Ngày 9/2, Google xác nhận mã độc đã bị gỡ bỏ và ứng dụng đã nhận được gần 15.000 lượt cài.