Hơn 1000 ứng dụng gián điệp tìm thấy trên Android Sotres

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 11/08/17, 10:08 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 77
    Đã được thích: 65
    upload_2017-8-11_20-44-51.png

    Nếu bạn cho rằng tải các ứng dụng trên Google Play Store là an toàn thì hãy đọc dưới đây!

    Từ các nhà cung cấp ứng dụng bên thứ 3 và Google Play Store có hơn 1000 ứng dụng có thể theo dõi mọi thứ mà người dùng thực hiện trên thiết bị di động, từ ghi âm cuộc gọi, thực hiện các cuộc gọi đi mà không có sự tương tác của người dùng.

    Được biết đến với tên SonicSpy, spyware đã lan rộng khắp các cửa hàng ứng dụng Android ít nhất là từ tháng 2 và đang được phân phối bằng cách giả vờ là ứng dụng nhắn tin-và nó thực sự cung cấp một dịch vụ nhắn tin.

    SonicSpy có thể thực hiện toàn bộ các hành vi độc hại
    upload_2017-8-11_20-55-23.png

    Bên cạnh đó, NonicSpy đánh cắp thông tin người sử dụng như nhật ký cuộc gọi, danh bạ, thông tin truy cập wifi, có thể dễ dàng theon dõi vị trí người dùng.

    Các phần mềm gián điệp được phát hiện bởi các nhà nghiêm cứu bảo mật tại công ty bảo mật Lookout. Các nhà nghiên cứu cũng phát hiện ra 3 ứng dụng nhắn tin chứa SonicSpy trên Google Play Store được tải xuống hàng ngàn lần.

    upload_2017-8-11_21-8-46.png

    Mặc dù các ứng dụng Soniac, Hulk Messenger và Troy Chat đã được Google Play gỡ bỏ, nhưng nó vẫn có mặt rộng rãi ở các cửa hàng bên thứ 3.

    Irap có liên quan tới phần mềm gián điệp SonicSpy
    Các nhà nghiên cứu tin rằng mã độc có liên quan tới một lập trình viên ở Irac. Nó có 73 lệnh điều khiểm từ xa trên máy bị nhiễm.
    Sự liên quan giữa Irac và SonicSpy xuất phát từ điểm tương đồng giữa SonicSpy và SpyNote, một mã độc khác trên Android phát hiện tháng 7 năm 2016, nó giả mạo ứng dụng Netflix và được cho rằng viết bởi một hacker Irac.

    Lookout Security Research Services cho biết: "Có rất nhiều điều cho thấy cả hai mã độc là cùng một tác giả.Ví dụ, cả hai đều có chung sự giống nhau về code, thường xuyên sử dụng các dịch vụ DNS động và chạy trên cổng 2222"
    Ngoài ra, điều quan trọng là tên của tài khoản nhà phát triển Soniac ở cửa hàng Google Play,là "iraqiwebservice".

    Đây là cách SonicSpy thực hiện
    Một trong số các ứng dụng nhắn tin chứa SonicSpy là Soniac. Soniac giả mạo là một ứng dụng nhắn tin và nó đã ở chính thức trên Google Play Store
    Sau khi cài đặt, Soniac xóa biểu tưọng khởi chạy trên điện thoại để ẩn chính nó khỏi nạn nhân và kết nối với máy chủ (C & C) nhận lệnh và kiểm soát máy nạn nhân. Nó sẽ cố gắng cài đặt một ứng dụng giả mạo ứng dụng Telegram.
    Tuy nhiên, ứng dụng này thực sự bao gồm nhiều tính năng nguy hiểm cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn thiết bị bị nhiễm và biến nó thành một máy gián điệp trong túi của bạn mà có thể âm thầm ghi âm, thực hiện cuộc gọi, chụp ảnh và ăn cắp dữ liệu cá nhân của bạn, Nhật ký, địa chỉ liên lạc và chi tiết về điểm truy cập Wi-Fi.
    Trước khi bị Google xóa, ứng dụng đã được tải xuống từ 1.000 đến 5.000 lần, nhưng vì đây là chỉ một phần của họ 1.000 biến thể, nên phần mềm độc hại có thể đã lây nhiễm hàng ngàn người khác.

    SonicSpy có thể trở lại vào Play Store một lần nữa

    Mặc dù các ứng dụng bị nhiễm SonicSpy đã được xóa khỏi Cửa hàng Play, các nhà nghiên cứu đã cảnh báo rằng phần mềm độc hại có thể có khả năng trở lại Cửa hàng Play bằng tài khoản khác và giao diện ứng dụng khác.

    Mặc dù Google đã thực hiện nhiều biện pháp bảo mật để ngăn chặn các ứng dụng độc hại thực hiện qua kiểm tra an ninh của Google, nhưng các ứng dụng độc hại vẫn vào được Play Store.


    Làm thế nào để tự bảo vệ trước úng dụng mềm độc hại đó

    Cách đơn giản nhất để tránh bị của bạn nhiễm những ứng dụng độc hai là hãy luôn cẩn thận với các ứng dụng nhàm chán, ngay cả khi tải chúng từ Cửa hàng Google Play và cố gắng chỉ dựa vào các thương hiệu đáng tin cậy.

    Hơn nữa, hãy dựa vào các bài đánh giá của người dùng đã tải xuống ứng dụng và xác minh quyền của ứng dụng trước khi cài đặt ứng dụng ngay cả từ các cửa hàng ứng dụng chính thức và cấp các quyền đó có liên quan đến mục đích của ứng dụng.

    Ngoài ra, không tải xuống ứng dụng từ nguồn của bên thứ ba. Mặc dù trong trường hợp này, ứng dụng cũng đang được phân phối thông qua Play Store, nhưng hầu hết các nạn nhân bị nhiễm phần mềm độc hại như vậy thông qua các cửa hàng ứng dụng không đáng tin cậy của bên thứ ba.

    Cuối cùng nhưng không kém phần quan trọng, bạn nên có phần mềm chống vi-rút tốt trên thiết bị của mình để phát hiện và ngăn chặn phần mềm độc hại đó trước khi chúng lây nhiễm sang thiết bị của bạn và cập nhật thiết bị và ứng dụng của bạn.

    Nguồn: thehackernews.com/2017/08/android-spyware-apps-hack.html
     
    Chỉnh sửa cuối: 11/08/17, 10:08 PM

Chia sẻ trang này