Ứng dụng độc hại tìm ra cách vượt qua trình quét của Google Play

Tin tặc đang tận dụng kỹ thuật tạo phiên bản để vượt qua khả năng phát hiện phần mềm độc hại của kho Google Play và hướng mục tiêu vào người dùng Android.

Đây là thông tin được The Hacker News chia sẻ trong báo cáo về mối đe dọa được phát hành vào tháng 8/2023 từ Nhóm hành động về an ninh mạng của Google (GCAT). Theo đó các chiến dịch sử dụng kỹ thuật tạo phiên bản sẽ nhắm vào thông tin đăng nhập, dữ liệu và tài chính của người dùng.

Ứng dụng độc hại

Mặc dù lập phiên bản không phải là một kỹ thuật mới, nhưng nó diễn ra lén lút và khó phát hiện. Theo phương pháp này, nhà phát triển sẽ phát hành phiên bản đầu tiên của ứng dụng trên cửa hàng Google Play, phiên bản này đã vượt qua các cuộc kiểm tra trước khi được nằm trên chợ của Google, nhưng sau đó được cập nhật với thành phần độc hại.

Thông thường, bản cập nhật được đẩy từ máy chủ do kẻ tấn công kiểm soát để phân phát mã độc hại trên thiết bị của người dùng bằng phương pháp tải mã động (DCL), biến ứng dụng thành cửa hậu một cách hiệu quả.

Vào đầu tháng 5, công ty bảo mật ESET phát hiện iRecorder, ứng dụng ghi màn hình vô hại trong gần một năm sau khi được tải lên cửa hàng Google Play, đã có những thay đổi độc hại theo dõi người dùng. Một ví dụ khác về malware sử dụng DCL là SharkBot. Ứng dụng này đã nhiều lần xuất hiện trên cửa hàng Google Play bằng cách giả dạng ứng dụng bảo mật và tiện ích. SharkBot là trojan tài chính bắt đầu chuyển tiền trái phép từ các thiết bị bằng giao thức Dịch vụ chuyển tiền tự động (ATS).

Ngoài ra có thể kể đến các ứng dụng miễn phí trên Play Store với chức năng bị hạn chế, khi được cài đặt sẽ tải xuống phiên bản đầy đủ của phần mềm độc hại, điều này sẽ ít tạo ra sự chú ý hơn.

ThreatFabric cho biết những kẻ cung cấp phần mềm độc hại đã khai thác một lỗi trong Android, coi malware trở nên vô hại bằng cách làm hỏng các thành phần để toàn bộ ứng dụng vẫn hợp lệ. Tác giả của malware có thể có một số ứng dụng được xuất bản trong cửa hàng cùng lúc dưới các tài khoản nhà phát triển khác nhau, tuy nhiên, chỉ một ứng dụng hoạt động như một phần mềm độc hại, trong khi ứng dụng kia là bản sao lưu để sử dụng sau khi gỡ xuống.

Chiến thuật như vậy giúp tin tặc duy trì chiến dịch rất dài, giảm thiểu thời gian cần thiết để xuất bản một ứng dụng khác và tiếp tục chiến dịch phân phối.

Để giảm thiểu mọi rủi ro, người dùng Android nên dùng các nguồn đáng tin cậy để tải ứng dụng và bật Google Play Protect để nhận thông báo khi tìm thấy ứng dụng có khả năng gây hại trên thiết bị.

Có thể bạn quan tâm

Ngày 7/6/2024, Trường Cao đẳng An ninh mạng iSPACE và Tập đoàn Giáo dục Pearson Vương Quốc Anh đã ký kết Biên bản ghi nhớ hợp tác, nhằm góp phần nâng cao chất lượng đào tạo nhân lực CNTT theo chuẩn quốc tế, mà cụ thể và trước mắt là triển khai Chương trình Cao đẳng Anh Quốc BTEC.