Phát hiện ứng dụng Android độc hại trên Google Play Store đánh cắp các mã xác minh OTP qua SMS trên thiết bị nạn nhân

Các nhà nghiên cứu mới đây đã phát hiện ra một ứng dụng Android độc hại mới trên của hàng Google Play Store được ngụy trang dưới dạng ứng dụng Photo Beautification App nhằm đánh cắp các mã xác thực OTP được gởi qua SMS và kích hoạt tính năng thanh toán Wireless Application Protocol (WAP).

Phát hiện ứng dụng Android độc hại trên Google Play Store đánh cắp các mã xác minh OTP qua SMS trên thiết bị nạn nhân - CyberSec365.org

Kể từ đầu năm nay, Google đã thực hiện nhiều thay đổi trong các yêu cầu cấp quyền cho ứng dụng nhằm hạn chế quyền truy cập vào danh sách cuộc gọi, đọc SMS và các quyền đặc biệt khác. Những hạn chế này nhằm ngăn chặn các ứng dụng độc hại phát tán mã độc, đánh cắp dữ liệu, thông tin cá nhân và giảm thiểu các nguy cơ tấn công mạng. 

Tuy nhiên, tin tặc luôn luôn tìm ra những cách mới hơn để vượt qua các rào cản bảo mật bằng cách sử dụng các kỹ thuật khác nhau.

Trong một nghiên cứu mới đây, một ứng dụng trên Google Play Store có tên gọi là "Yellow Camera" được giới thiệu như một ứng dụng chỉnh sửa ảnh đã được nhúng thêm chức năng liên tục truy cập và đọc các tin nhắn SMS trên thiết bị của người dùng để tìm kiếm các tin nhắn chứa mã xác minh OTP.

Tại thời điểm viết bài, ứng dụng Yellow Camera đã có hơn 10 nghìn lượt tải xuống. Trong phần đánh giá của ứng dụng, đã có người dùng phản hồi rằng họ đã bị mất tiền sau khi cài đặt ứng dụng này, và ứng dụng này không đáng được xếp hạng.

Phát hiện ứng dụng Android độc hại trên Google Play Store đánh cắp các mã xác minh OTP qua SMS trên thiết bị nạn nhân - CyberSec365.org

Ứng dụng này chủ yếu nhắm mục tiêu đến các quốc gia Nam Á như Thái Lan, Malaysia và một số người dùng nói tiếng Trung Quốc, nhưng nó không giới hạn và họ tiếp tục mở rộng các mục tiêu trong Khu vực.

Phát hiện ứng dụng Android độc hại trên Google Play Store đánh cắp các mã xác minh OTP qua SMS trên thiết bị nạn nhân - CyberSec365.orgc

Kích hoạt Thanh toán Wireless Application Protocol (WAP)

Chức năng chính của ứng dụng độc hại này là để kích hoạt tính năng thanh toán WAP nhằm đọc được các notification hệ thống. WAP-billing  hiện đang được sử dụng rộng rãi như một phương thức thanh toán giúp người dùng dễ dàng mua ứng dụng trên Google Play Store bằng tài khoản trong sim điện thoại của mình.

Dịch vụ WAP này thanh toán các hóa đơn trực tiếp vào tiền điện thoại của người dùng hoặc có thể sử dụng thể tính dụng/thẻ ghi nợ, Do đó, đây được xem làm một con mồi béo bở của tin tặc.

Khi ứng dụng được cài đặt trên thiết bị được nhắm mục tiêu, nó sẽ yêu cầu quyền truy cập tính năng thông báo và tải xuống tệp từ (hxxp: // new-xô3ee91e7f [-] yellowcamera [.] S3 [-] ap [-] south [-] 1 [.] Amazonaws [.] Com) có chứa tải trọng  JavaScript và địa chỉ đăng ký WAP.

Phát hiện ứng dụng Android độc hại trên Google Play Store đánh cắp các mã xác minh OTP qua SMS trên thiết bị nạn nhân - CyberSec365.org

Sau đó, mã độc này sẽ truy cập vào trình duyệt web để kích hoạt tính năng WAP hoặc truy cập vào trang thanh toán chứa một đoạn mã JavaScript được kích hoạt sẵn nhằm tự động nhấp vào yêu cầu Type Allocation Code (TAC) - loại mã được sử dụng để nhận dạng các thiết bị không dây.

Sau khi mã xác thực được gởi đến thiết bị nạn nhân thông qua SMS, mã độc này sẽ tiến hành đọc mã xác minh thông qua các notifice hệ thống và các mã JavaScript sẽ điền mã xác nhận vào các đơn đăng ký mua.

Theo các nhà nghiên cứu bảo mật thuộc hãng bảo mật Trend Micro, ứng dụng độc hại sử dụng startForeground API để khởi chạy dịch vụ ở trạng thái nền trước, trong đó hệ thống coi đó là thứ mà người dùng chủ động nhận ra và do đó sẽ không bị chấm dứt ngay cả khi thiết bị bộ nhớ thấp.

Trend Micro đã báo cáo các ứng dụng này cho Google. và ứng dụng, cùng với những ứng dụng tương tự đã bị xóa khỏi Google Play Store. Tuy nhiên, nếu bạn đang cài đặt ứng dụng Yellow Camera, hãy nhanh chóng gở bỏ cài đặt hoàn toàn chúng khỏi thiết bị của mình.

Đại Phát (Theo GBHacker)