Phát hiện ổ Trojan trên kho ứng dụng Google Play

Theo thông tin từ đại diện Dr Web tại Việt Nam, trong tháng 9/2015 hãng bảo mật này đã phát hiện mã độc Android.MKcap.1.origin được nhúng trong các trò chơi khác nhau, được tội phạm mạng sử dụng để tự động đăng ký các dịch vụ có thu phí khác nhau.

Hành vi của mã độc này như sau: đầu tiên Android.MKcap.1.origin nhận được một liên kết đến một số trang web với nội dung cao cấp; sau đó tiến hành sao chép Captcha (hình ảnh chứa đoạn mã xác nhận) từ trang web đó tải mã độc lên một cổng thông tin web của một dịch vụ nhận dạng Captcha.

Kho ứng dụng Google Play luôn là đích tấn công của hacker.

Ngay sau khi hình ảnh đã được xử lý, các Trojan chuyển kết quả đến các trang web với nội dung cao cấp để hoàn tất quá trình đăng ký. Lúc đó, nếu trong quá trình đăng ký một số tin nhắn SMS bổ sung với mã xác thực đã nhận được từ các dịch vụ, Android.MKcap.1.origin tổng hợp kết quả và thực hiện quá trình chuyển tiếp đến trang web.

Cũng theo Dr Web, một Trojan cũng được phát hiện trên Google Play trong tháng 9 là Android.Backdoor.273.origin. Backdoor nguy hiểm này sử dụng một thuật toán để lây nhiễm các thiết bị di động nhắm mục tiêu là các thiết bị di động cài ứng dụng được gọi là Brain Test (Kiểm tra trí tuệ). Bản thân chương trình không chứa phần tải về từ một máy chủ từ xa, sau khi khởi động Android.Backdoor.273.origin kết nối với máy chủ từ xa và cố gắng giành được đặc quyền root thiết bị.

Nếu thành công, Trojan tải về thành phần độc hại thứ hai với tên gọi Android.DownLoader.173 từ máy chủ.

Thành phần này sau đó được tội phạm mạng tùy nghi dùng để tải về và cài đặt các loại phần mềm độc hại khác trên thiết bị mà không cần sự cho phép của nạn nhân, giành quyền root bằng cách tải công cụ khai thác về từ máy chủ; âm thầm cài đặt Trojan cho phép tải và cài đặt các loại phần mềm độc hại khác trên thiết bị.

Hai thành phần độc hại này liên tục kiểm tra và phối hợp với nhau. Nếu một trong hai bị phát hiện và gỡ bỏ, chúng vẫn có thể tự động tải về các tập tin cần thiết để lây nhiễm thiết bị một lần nữa.

Ngoài ra trong tháng 9, Trojan bị phát hiện trên Google Play là chương trình độc hại được cấy vào ứng dụng trò chơi vô hại đã được bổ sung vào cơ sở dữ liệu virus của Dr.Web là Android.MulDrop.67.

Tùy thuộc vào việc sửa đổi, một khi Android.MulDrop.67 được khởi động sẽ  bắt đầu thực hiện các hoạt động độc hại ngay hoặc chờ 24 giờ để nạn nhân mất cảnh giác. Mục đích chính của các chương trình độc hại này là hiển thị quảng cáo không được phép, tự động tải về  và cài đặt Trojan độc hại mà không cần sự cho phép của nạn nhân.

Theo ictnews