Phát hiện 42 ứng dụng chứa mã quảng cáo độc hại với hơn 8 triệu lượt tải xuống được phát tán bởi sinh viên Việt Nam

Trước khi đọc bài này, bạn nên xác định rằng nếu trên điện thoại Android của bạn có bất kỳ ứng dụng nào được liệt kê dưới đây, bạn nên gỡ cài đặt nó ngay lập tức.

Theo Lukas Stefanko, một nhà nghiên cứu bảo mật thuộc hãng bảo mật ESET mới đây đã phát hiện 42 ứng dụng trên Google Play Store với tổng số hơn 8 triệu lượt tải xuống, ban đầu được đưa lên Google Play Store dưới dạng các ứng dụng bình thường nhưng sau đó được cập nhật để hiển thị các quảng cáo độc hại lên màn hình của người dùng.

Phát hiện 42 ứng dụng chứa mã quảng cáo độc hại với hơn 8 triệu lượt tải xuống được phát tán bởi sinh viên Việt Nam - CyberSec365.org

Cụ thể, Lukas Stefanko đã phát hiện các phần mềm quảng cáo này được phát triển bởi một sinh viên đại học tại Việt Nam. Ông cho biết sinh viên này dễ dàng bị theo dõi và phát hiện bởi anh ta không quan tâm đến việc che giấu danh tính của mình

Cụ thể, các chi tiết đăng ký công khai của một tên miền được liên kết với các ứng dụng quảng cáo đã giúp Lukas tìm ra danh tính của nhà phát triển này bao gồm họ tên, địa chỉ, số điện thoại cũng như tài khoản cá nhân trên Facebook, Github và Youtube.

Theo Lukas cho biết, có thể dễ dàng thấy rằng nhà phát triển này không thực hiện bất kỳ biện pháp bảo mật nào để bảo vệ danh tính của mình. Do đó, xuất phát điểm của anh ta có thể là trong sạch. Tuy nhiên, tại một số thời điểm, có vẻ anh ta muốn tăng thêm doanh thu của mình bằng cách triển khai các mã quảng cáo trong ứng dụng.

Vì tất cả 42 ứng dụng phần mềm quảng cáo cung cấp các chức năng ban đầu mà chúng đã quảng cáo, như Radio FM, trình tải xuống video hoặc trò chơi, nên hầu hết người dùng rất khó phát hiện ra các ứng dụng giả mạo hoặc tìm thấy bất kỳ điều gì khả nghi.

Thủ thuật ẩn mình của phần mềm quảng cáo

 Được đặt tên là "Ashas", phần mềm quảng cáo này kết nối với máy chủ chỉ huy và kiểm soát (C&C) từ xa do nhà phát triển điều hành để tự động gởi các thông tin cơ bản của thiết bị Android đến máy chủ độc hại.

Phát hiện 42 ứng dụng chứa mã quảng cáo độc hại với hơn 8 triệu lượt tải xuống được phát tán bởi sinh viên Việt Nam - CyberSec365.org

Sau khi thu thập dữ liệu của thiết bị, máy chủ C&C sẽ gởi các dữ liệu quảng cáo cho ứng dụng theo lựa chọn của kẻ tấn công để hiển thị trên thiết bị của người dùng. Để có thể ẩn thân khỏi cơ chế bảo mật của Google Play Store, trước tiên, các ứng dụng sẽ kiểm tra địa chỉ IP của thiết bị bị nhiễm, nếu nó nằm trong danh sách địa chỉ IP kiểm thử của Google, ứng dụng sẽ không kích hoạt tải trọng phần mềm quảng cáo.

Bên cạnh đó, nhằm ngăn chặn người dùng phát hiện quảng cáo ngay sau khi cài đặt ứng dụng, nhà phát triển cũng tiến hành thêm các tùy chỉnh về thời gian xuất hiện quảng cáo sau khi cài đặt ứng dụng.

Ngoài ra, trong nỗ lực để không bị gỡ cài đặt, các ứng dụng này cũng ẩn đi biểu tượng của chúng khỏi menu Android và chỉ tạo ra một shortcut cho người dùng sử dụng. Do đó, nếu một người dùng tiến hành xóa ứng dụng theo cách thông thường, có thể người dùng chỉ xóa đi shortcut của ứng dụng và ứng dụng đó vẫn tiếp tục chạy trong nền.

Đặc biệt hơn, để tránh bị nghi ngờ, khi người dùng mở giao diện đa nhiệm để kiểm tra xem ứng dụng nào đang hiển thị quảng cáo, phần mềm độc hại này sẽ hiển thị biểu tượng của Google hoặc Facebook để tranh bị phát hiện.

Mặc dù Stefanko không nói nhiều về loại quảng cáo mà phần mềm quảng cáo này phát tán cho người dùng bị nhiễm, nhưng phần mềm quảng cáo thường phát tán đến các thiết bị bị nhiễm bằng quảng cáo, chủ yếu dẫn đến các trang web giả mạo, độc hại và lừa đảo.

Stefanko đã báo cáo nhóm bảo mật của Google về những phát hiện của mình và công ty đã xóa các ứng dụng được đề cập khỏi nền tảng Play Store.

Tuy nhiên, nếu bạn đã tải xuống bất kỳ ứng dụng giả mạo nào được liệt kê ở trên trên thiết bị Android của mình, hãy xóa ngay lập tức bằng cách vào cài đặt thiết bị của bạn.

Người dùng Apple iOS cũng nên kiểm tra iPhone của họ để biết các ứng dụng này, vì nhà phát triển độc hại cũng có ứng dụng trên App Store của Apple. Tuy nhiên, như bây giờ, không ai trong số họ chứa bất kỳ chức năng phần mềm quảng cáo nào.

Đại Phát (Theo THN)