WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Adware trên Android có thể tự cài đặt ngay cả khi bị người dùng từ chối
Các nhà nghiên cứu phát hiện nhiều ứng dụng độc hại có thể tự động cài đặt ngay cả khi đã bị người dùng đã bấm vào nút từ chối ứng dụng.
Tấn công xảy ra sau khi một người dùng cài đặt ứng dụng độc hại (trojanized app), giả mạo một ứng dụng chính thức trên Google Play và được tung lên chợ ứng dụng bên thứ ba.
Trong quá trình cài đặt, các ứng dụng thuộc dòng adware với tên gọi Shedun lừa người dùng cấp quyền kiểm soát ứng dụng Dịch vụ truy cập của Android (Android Accessibility Service). Dịch vụ được xây dựng để hỗ trợ người dùng có thị lực kém tương tác với thiết bị. Hài hước là các ứng dụng Shedun này lừa người dùng bằng cách hiển thị những đoạn hội thoại hứa hẹn loại bỏ những mẩu quảng cáo bừa bãi.
Từ đó, ứng dụng có thể hiển thị các mẩu quảng cáo popup thường cài đặt adware. Thậm chí, trong trường hợp người dùng đã từ chối lời mời cài đặt adware hoặc không thực hiện bất kỳ thao tác nào, ứng dụng Shedun vẫn sử dụng quyền kiểm soát dịch vụ truy cập của nó để cài đặt adware.
“Shedun không khai thác lỗ hổng trong dịch vụ”, nhà nghiên cứu của Lookout cho hay. “Thay vào đó, nó lợi dụng các tính năng hợp pháp của dịch vụ. Bằng cách chiếm đặc quyền sử dụng dịch vụ truy cập, Shedun có khả năng đọc được những dòng chữ xuất hiện trên màn hình, xác định liệu có hiển thị gợi ý cài đặt ứng dụng, lướt qua danh sách đặc quyền, và cuối cùng, nhấn vào nút cài đặt mà không cần có sự tương tác vật lý của người dùng”.
Shedun là một trong những dòng adware không dễ bị gỡ bỏ cài đặt. Đó là lý do vì sao các ứng dụng “cắm rễ” lên thiết bị và sau đó tự đính kèm vào phần nào đó của hệ thống để đảm bảo rằng chúng “sống sót” ngay cả sau khi cài đặt lại thiết bị. Hãng Lookout xếp chúng vào loại phần mềm quảng cáo độc hại (trojanized adware) bởi mục đích cuối cùng của loại adware này là cài đặt các ứng dụng thứ 2 và để quảng cáo.
Người dùng cần cẩn trọng trước những nguy cơ và lợi ích của việc sử dụng thị trường ứng dụng bên thứ ba. Đồng thời, người dùng cũng nên cảnh giác cao khi ứng dụng yêu cầu quyền kiểm soát Android Accessibility Service.
Theo Arstechnica
Tấn công xảy ra sau khi một người dùng cài đặt ứng dụng độc hại (trojanized app), giả mạo một ứng dụng chính thức trên Google Play và được tung lên chợ ứng dụng bên thứ ba.
Trong quá trình cài đặt, các ứng dụng thuộc dòng adware với tên gọi Shedun lừa người dùng cấp quyền kiểm soát ứng dụng Dịch vụ truy cập của Android (Android Accessibility Service). Dịch vụ được xây dựng để hỗ trợ người dùng có thị lực kém tương tác với thiết bị. Hài hước là các ứng dụng Shedun này lừa người dùng bằng cách hiển thị những đoạn hội thoại hứa hẹn loại bỏ những mẩu quảng cáo bừa bãi.
Từ đó, ứng dụng có thể hiển thị các mẩu quảng cáo popup thường cài đặt adware. Thậm chí, trong trường hợp người dùng đã từ chối lời mời cài đặt adware hoặc không thực hiện bất kỳ thao tác nào, ứng dụng Shedun vẫn sử dụng quyền kiểm soát dịch vụ truy cập của nó để cài đặt adware.
“Shedun không khai thác lỗ hổng trong dịch vụ”, nhà nghiên cứu của Lookout cho hay. “Thay vào đó, nó lợi dụng các tính năng hợp pháp của dịch vụ. Bằng cách chiếm đặc quyền sử dụng dịch vụ truy cập, Shedun có khả năng đọc được những dòng chữ xuất hiện trên màn hình, xác định liệu có hiển thị gợi ý cài đặt ứng dụng, lướt qua danh sách đặc quyền, và cuối cùng, nhấn vào nút cài đặt mà không cần có sự tương tác vật lý của người dùng”.
Shedun là một trong những dòng adware không dễ bị gỡ bỏ cài đặt. Đó là lý do vì sao các ứng dụng “cắm rễ” lên thiết bị và sau đó tự đính kèm vào phần nào đó của hệ thống để đảm bảo rằng chúng “sống sót” ngay cả sau khi cài đặt lại thiết bị. Hãng Lookout xếp chúng vào loại phần mềm quảng cáo độc hại (trojanized adware) bởi mục đích cuối cùng của loại adware này là cài đặt các ứng dụng thứ 2 và để quảng cáo.
Người dùng cần cẩn trọng trước những nguy cơ và lợi ích của việc sử dụng thị trường ứng dụng bên thứ ba. Đồng thời, người dùng cũng nên cảnh giác cao khi ứng dụng yêu cầu quyền kiểm soát Android Accessibility Service.
Theo Arstechnica