Chỉ cần đổi tên, các ứng dụng độc hại đã có thể trở lại Play Store

    Tấn Minh,  

    Các nhà nghiên cứu bảo mật cho biết các ứng dụng Android độc hại mà họ từng phát hiện và báo cáo với Google trước đây đã trở lại Play Store sau khi...đổi tên!

    Bảy trong số các ứng dụng độc hại nói trên đã được phát hiện trở lại, theo những gì Symantec công bố trong một báo cáo xuất bản hôm qua. Các chuyên gia của công ty bảo mật này cho biết tác giả của các ứng dụng độc hại này chẳng làm gì đặc biệt ngoài việc thay đổi tên ứng dụng, thậm chí họ cũng chẳng chỉnh sửa một dòng lệnh nào và cứ thế upload ứng dụng lên Play Store bằng một tài khoản nhà phát triển mới với tên người dùng mới.

    Symantec đã phát hiện 7 ứng dụng trong số đó trên Play Store, báo cáo với nhóm an ninh của Google (lần thứ 2), và các ứng dụng này lại một lần nữa bị gỡ bỏ.

    Các ứng dụng này được "ngụy trang" dưới hình thức các bàn phím emoji, công cụ dọn dẹp hệ thống, máy tính bỏ túi, công cụ khóa ứng dụng, và công cụ ghi âm cuộc gọi. Danh sách 7 ứng dụng này được liệt kê trong hình ảnh dưới đây:

    Chỉ cần đổi tên, các ứng dụng độc hại đã có thể trở lại Play Store - Ảnh 1.

    Các nhà nghiên cứu bảo mật từng phân tích các ứng dụng này cho biết tất cả chúng đều không hoạt động như quảng cáo, thay vào đó lừa người dùng cấp quyền admin và hiển thị quảng cáo thông qua Google Mobile Services, hoặc tải các trang web lừa đảo trong trình duyệt của người dùng.

    Vụ việc này đã gióng lên hồi chuông về thái độ làm việc của Google, khi mà các tác giả malware có thể qua mặt cơ chế phòng vệ của Play Store một cách vô cùng đơn giản khi chỉ cần đổi tên tập tin và tên tài khoản.

    Nhóm ứng dụng độc hại thứ hai bị phát hiện

    Bên cạnh 7 ứng dụng được upload trở lại Play Store nói trên, nhóm Symantec còn phát hiện nhóm 38 ứng dụng độc hại khác, với những khác biệt đáng chú ý so với nhóm đầu tiên, đã tìm cách xuất hiện trên cửa hàng ứng dụng chính thức của Google.

    Các chuyên gia cho biết nhóm ứng dụng độc hại thứ hai này sẽ tải một địa chỉ dẫn đến một trang blog trong khi chạy ngầm trên điện thoại của bạn.

    "Các đường dẫn dẫn đến nhiều blog khác nhau, và có vẻ như các ứng dụng này được sử dụng để tăng lưu lượng truy cập cho các blog đó" - các nhà nghiên cứu Symantec giải thích về sự tồn tại của 38 ứng dụng kỳ lạ kia.

    "Đến thời điểm hiện tại, phần lớn người dùng đã tải về các ứng dụng kia đều ở My, Anh, Nam Phi, Ấn Độ, Nhật Bản, Ai Cập, Đức, Hà Lan và Thụy Điển. Sự hiện diện của các ứng dụng này trên Google Play Store, với tên gọi có vẻ như là những ứng dụng hợp pháp cùng miêu tả khá lôi cuốn đã giúp chúng được tải về trên ít nhất 10.000 thiết bị".

    Symantec cho biết công ty đã liên hệ Google, và tất nhiên nhóm ứng dụng thứ hai này cũng đã bị gỡ bỏ. Hãng bảo mật cho biết họ phát hiện ra rằng cả hai nhóm malware kể trên đều thuộc danh mục Android.Reputation.1. Danh sách 38 ứng dụng độc hại được hiển thị trong hình ảnh dưới đây:

    Chỉ cần đổi tên, các ứng dụng độc hại đã có thể trở lại Play Store - Ảnh 2.

    Thêm nhiều adware khác

    Chưa dừng lại ở đó, nhà nghiên cứu bảo mật di động của ESET là Lukas Stefanko còn phát hiện ra nhóm ứng dụng độc hại thứ 3, gồm 15 cái tên xuất hiện trên Play Store.

    "15 ứng dụng này có hơn 400.000 lượt cài đặt. Chúng có thể tải về các thành phần phụ thêm và hiển thị (và có thể tự động bấm vào) các quảng cáo vô hình. Mọi thứ đều được che giấu khỏi tầm mắt người dùng".

    Chỉ cần đổi tên, các ứng dụng độc hại đã có thể trở lại Play Store - Ảnh 3.

    Trong tuần vừa qua, Sophos cũng đã công bố thêm một số thông tin về chiến dịch adware trên Android mang tên Guerilla vốn đã xuất hiện trên Play Store từ đầu năm nay. Bạn có thể tham khảo tại đây.

    Tham khảo: BleepingComputer

    Tin cùng chuyên mục
    Xem theo ngày

    NỔI BẬT TRANG CHỦ