WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Malware Android lây nhiễm trên 4,2 triệu người dùng Google Play Store
Dù Google luôn nỗ lực gỡ bỏ các ứng dụng độc hại nhưng gần đây ít nhất 50 ứng dụng vẫn tìm cách lọt được vào Google Play Store.
Hãng an ninh CheckPoint công bố phát hiện ít nhất 50 ứng dụng Android miễn phí trên Play Store với khoảng 1 đến 4,2 triệu lượt tải về trước khi Google gỡ bỏ chúng.
Những ứng dụng Android này kèm theo payload malware, bí mật dùng tài khoản của nạn nhân để đăng ký các dịch vụ trực tuyến có phí, gửi các tin nhắn tiền thưởng lừa đảo từ điện thoại của nạn nhân và buộc họ phải thanh toán các hoá đơn mà không cần sự cho phép của người dùng.
Loại malware ExpensiveWall ẩn nấp trong ứng dụng wallpaper, video hoặc ứng dụng chỉnh sửa ảnh. Đây là một biến thể mới của malware mà Mcafee phát hiện vào đầu năm nay trên Play Store.
Điểm khác biệt của ExpensiveWall là sử dụng kỹ thuật làm rối gọi là “packed”, nén và mã hóa mã độc để tránh cơ chế bảo vệ anti-malware tích hợp sẵn trên Google Play Store.
Google đã được thông báo về các ứng dụng này và nhanh chóng gỡ bỏ. Nhưng gần đây, mã độc này lại xuất hiện trên Play Store và lây nhiễm trên 5.000 thiết bị trước khi bị gỡ bỏ.
Cách thức malware ExpensiveWall hoạt động
Khi ứng dụng chứa ExpensiveWall được tải về thiết bị của nạn nhân, ứng dụng độc hại yêu cầu người dùng cho phép truy cập Internet, gửi và nhận tin nhận SMS.
Malware sử dụng truy cập Internet để kết nối từ máy của nạn nhân đến máy chủ C&C của kẻ tấn công, gửi thông tin về thiết bị lây nhiễm, bao gồm vị trí cũng như địa chỉ MAC, IP, số IMSI và IMEI.
C&C server sau đó sẽ gửi một link URL có chứa malware để tải mã JavaScript. Mã này có nhiệm vụ gửi tin nhắn giải thưởng lừa đảo, đăng ký số điện thoại của nạn nhân cho các dịch vụ tính phí.
Tuy nhiên, theo CheckPoint, vẫn chưa có con số chính thức về doanh thu mà hacker có được khi tạo những tin nhắn lừa đảo như vậy.
Bảo vệ thiết bị Android khỏi ứng dụng độc hại
Kể cả khi Google gỡ bỏ tất cả những ứng dụng độc hại khỏi Google Play, smartphone của người dùng vẫn bị lây nhiễm ExpensiveWall cho đến khi gỡ bỏ hẳn.
Google gần đây đã cung cấp tính năng Play Protect -tự động gỡ bỏ các ứng dụng độc hại từ smartphone bị lây nhiễm và ngăn cản lây lan sâu hơn.
Tuy nhiên, các thiết bị chạy phiên bản Andorid cũ sẽ không được hỗ trợ tính năng này.
Người dùng cũng được khuyên cài ứng dụng diệt virus dành cho điện thoại và luôn cập nhật phiên bản mới đều đặn cho tất cả các ứng dụng.
Hãng an ninh CheckPoint công bố phát hiện ít nhất 50 ứng dụng Android miễn phí trên Play Store với khoảng 1 đến 4,2 triệu lượt tải về trước khi Google gỡ bỏ chúng.
Những ứng dụng Android này kèm theo payload malware, bí mật dùng tài khoản của nạn nhân để đăng ký các dịch vụ trực tuyến có phí, gửi các tin nhắn tiền thưởng lừa đảo từ điện thoại của nạn nhân và buộc họ phải thanh toán các hoá đơn mà không cần sự cho phép của người dùng.
Loại malware ExpensiveWall ẩn nấp trong ứng dụng wallpaper, video hoặc ứng dụng chỉnh sửa ảnh. Đây là một biến thể mới của malware mà Mcafee phát hiện vào đầu năm nay trên Play Store.
Điểm khác biệt của ExpensiveWall là sử dụng kỹ thuật làm rối gọi là “packed”, nén và mã hóa mã độc để tránh cơ chế bảo vệ anti-malware tích hợp sẵn trên Google Play Store.
Google đã được thông báo về các ứng dụng này và nhanh chóng gỡ bỏ. Nhưng gần đây, mã độc này lại xuất hiện trên Play Store và lây nhiễm trên 5.000 thiết bị trước khi bị gỡ bỏ.
Cách thức malware ExpensiveWall hoạt động
Khi ứng dụng chứa ExpensiveWall được tải về thiết bị của nạn nhân, ứng dụng độc hại yêu cầu người dùng cho phép truy cập Internet, gửi và nhận tin nhận SMS.
Malware sử dụng truy cập Internet để kết nối từ máy của nạn nhân đến máy chủ C&C của kẻ tấn công, gửi thông tin về thiết bị lây nhiễm, bao gồm vị trí cũng như địa chỉ MAC, IP, số IMSI và IMEI.
C&C server sau đó sẽ gửi một link URL có chứa malware để tải mã JavaScript. Mã này có nhiệm vụ gửi tin nhắn giải thưởng lừa đảo, đăng ký số điện thoại của nạn nhân cho các dịch vụ tính phí.
Tuy nhiên, theo CheckPoint, vẫn chưa có con số chính thức về doanh thu mà hacker có được khi tạo những tin nhắn lừa đảo như vậy.
Bảo vệ thiết bị Android khỏi ứng dụng độc hại
Kể cả khi Google gỡ bỏ tất cả những ứng dụng độc hại khỏi Google Play, smartphone của người dùng vẫn bị lây nhiễm ExpensiveWall cho đến khi gỡ bỏ hẳn.
Google gần đây đã cung cấp tính năng Play Protect -tự động gỡ bỏ các ứng dụng độc hại từ smartphone bị lây nhiễm và ngăn cản lây lan sâu hơn.
Tuy nhiên, các thiết bị chạy phiên bản Andorid cũ sẽ không được hỗ trợ tính năng này.
Người dùng cũng được khuyên cài ứng dụng diệt virus dành cho điện thoại và luôn cập nhật phiên bản mới đều đặn cho tất cả các ứng dụng.
Theo The Hacker News