Xem bản thử nghiệm

Các nhà nghiên cứu bảo mật phát hiện hàng loạt ứng dụng iPhone có liên quan đến malware Golduck

Tấn Minh , Theo Trí Thức Trẻ

Các ứng dụng iPhone này ngâm liên lạc với một máy chủ có liên quan đến Golduck, một malware Android từng lây nhiễm vào các ứng dụng game cổ điển phổ biến trên hệ điều hành mã nguồn mở này.

Malware Golduck đã được biết đến từ hơn một năm trước, sau khi được phát hiện lần đầu bởi Appthority và lúc đó nó đang lây nhiễm vào các tựa game cổ điển và hoài cổ trên cửa hàng ứng dụng Google Play. Phương thức hoạt động của nó là chèn mã backdoor cho phép các tập tin cài đặt được âm thầm truyền vào thiết bị. Tại thời điểm bị phát hiện, đã có hơn 10 triệu người dùng bị nhiễm malware này, cho phép các hacker thực thi các câu lệnh nguy hiểm ở mức ưu tiên cao nhất, như gửi các tin nhắn SMS tính phí đến số điện thoại của nạn nhân để kiếm tiền.

Nay, các nhà nghiên cứu cho biết những ứng dụng iPhone có liên kết với malware này cũng có thể tiềm ẩn nguy cơ tương tự.

Wandera, một công ty bảo mật doanh nghiệp, cho biết đã phát hiện ra 14 ứng dụng - tất cả đều là các game kiểu cổ điển - có hành vi liên lạc với chính máy chủ điều khiển và ra lệnh từng được sử dụng bởi malware Golduck.

"Tên miền Golduck đã nằm trong một danh sách theo dõi mà chúng tôi lập nên vì nó từng là nơi phân phối một chủng malware Android đặc biệt trong quá khứ" - Michael Covington, Phó Chủ tịch mảng Sản phẩm của Wandera nói - "Khi chúng tôi bắt đầu để ý thấy có liên lạc giữa các thiết bị iOS và tên miền chứa malware này, chúng tôi đã điều tra kỹ hơn".

Các ứng dụng bị lây nhiễm malware Golduck gồm: Commando Meta: Classic Contra, Super Pentron Adventure: Super Hard, Classic Tank vs Super Bomber, Super Adventure of Maritron, Roy Adventure Troll Game, Trap Dungeons: Super Adventure, Bounce Classic Legend, Block Game, Classic Bomber: Super Legend, Brain It On: Stickman Physics, Bomber Game: Classic Bomberman, Classic Brick - Retro Block, The Climber Brick, và Chicken Shoot Galaxy Invaders.

Theo các nhà nghiên cứu, những gì họ quan sát được cho đến lúc này là khá quen thuộc - máy chủ điều khiển và ra lệnh đẩy một danh sách các biểu tượng trong vùng quảng cáo ở trên góc trái của ứng dụng. Khi người dùng mở game, máy chủ cho ứng dụng biết biểu tượng và đường dẫn nào cần được đưa xuống cho người dùng. Tuy nhiên, Wandera để ý thấy các ứng dụng gửi dữ liệu địa chỉ IP - và trong một số trường hợp là dữ liệu địa điểm - về cho máy chủ điều khiển và ra lệnh của Golduck. Trang tin TechCrunch đã xác nhận những hoài nghi này khi chạy các ứng dụng trên một iPHone mới được cài đặt lại thông qua một proxy, cho phép họ thấy nơi các dữ liệu được chuyển đến. Dựa trên những gì họ quan sát được, ứng dụng nói với máy chủ chứa mã độc của Golduck tên ứng dụng, phiên bản, loại thiết bị, và địa chỉ IP của thiết bị - bao gồm cả số lượng quảng cáo đã được hiển thị trên màn hình điện thoại.

Các nhà nghiên cứu bảo mật phát hiện hàng loạt ứng dụng iPhone có liên quan đến malware Golduck - Ảnh 2.

Các nhà nghiên cứu cho biết, hiện tại, các ứng dụng trong danh sách trên đều được chèn đầy quảng cáo nhằm mục đích kiếm tiền nhanh gọn mà thôi. Nhưng họ cũng bày tỏ quan ngại rằng việc ứng dụng liên lạc với máy chủ chứa mã độc có thể mở cánh cửa khiến ứng dụng và thiết bị của người dùng bị các mã lệnh độc hại xâm nhập.

"Tự bản thân các ứng dụng không độc hại; dù chúng không chứa bất kỳ mã độc nào, backdoor chúng mở ra sẽ là một nguy cơ gây lộ lọt dữ liệu mà mọi người không hề muốn. Một hacker có thể dễ dàng sử dụng vùng quảng cáo thứ hai để hiển thị một đường dẫn chuyển hướng người dùng và lừa họ cài đặt một hồ sơ dự phòng hoặc một chứng chỉ mới có thể cho phép một ứng dụng độc hại hơn cài đặt vào máy" - các nhà nghiên cứu cảnh báo.

Điều này có thể đúng với mọi game và ứng dụng, không kể hãng sản xuất hay phần mềm. Nhưng việc chúng kể nối đến một máy chủ chứa mã độc đã được biết từ trước là điều hoàn toàn không tốt. Covington cho biết công ty đã "quan sát thấy các nội dung độc hại được chia sẻ từ máy chủ", nhưng các nội dung này không hề liên quan đến game.

Như vậy, nếu máy chủ Golduck đã và đang gửi các ứng dụng độc hại đến người dùng Android, người dùng iPhone có thể sẽ là nạn nhân kế tiếp.

Công ty nghiên cứu dữ liệu Sensor Tower cho biết 14 ứng dụng bị nghi ngờ đã được cài đặt gần 1 triệu lần kể từ khi chúng được tung ra, trừ những lần được tải và cài đặt lặp đi lặp lại trên các thiết bị khác nhau.

Khi tìm cách liên hệ với các nhà phát triển ứng dụng, nhiều đường dẫn trên App Store trỏ đến một trang web đã không còn tồn tại nữa, hoặc các trang web với các chính sách quyền riêng tư bê nguyên xi của nhau nhưng không hề có thông tin liên hệ. Chủ nhân của tên miền Golduck có vẻ như là một cái tên ảo, cùng với các tên miền khác có liên quan đến Golduck, vốn thường có tên và địa chỉ email khác nhau.

Apple không đưa ra bình luận gì về vấn đề này. Các ứng dụng có vẻ như vẫn có thể tải về được từ App Store, nhưng ở thời điểm hiện tại, chúng không xuất hiện tại App Store của Mỹ.

Các cửa hàng ứng dụng của Apple có thể có quy trình kiểm soát khắt khe hơn so với các cửa hàng của Google, vốn thường xuyên để lọt các ứng dụng độc hại. Tuy nhiên trên thực tế, không cửa hàng nào hoàn hảo. Hồi đầu năm nay, các nhà nghiên cứu bảo mật đã phát hiện ra một ứng dụng hàng đỉnh trên Mac App Store đang thu thập lịch sử duyệt web của người dùng mà chưa được phép, và hàng tá ứng dụng iPhone đang gửi dữ liệu địa điểm người dùng đến các nhà quảng cáo mà không hề hỏi ý kiến họ trước.

Với người dùng thông thường, các ứng dụng độc hại vẫn luôn là mối đe dọa phổ biến và lớn nhất đối với người dùng di động - ngay cả khi sử dụng các phần nhằm khóa chặt hệ thống và kiểm tra kỹ càng các ứng dụng.

Nếu có một bài học cần rút ra ở đây: đừng bao giờ tải về những thứ bạn không cần, hoặc không thể tin tưởng.

Tham khảo: TechCrunch

Bình luận