Ngày 05 tháng 5 năm 2023Ravie LakshmananBảo mật di động / Android
Phần mềm độc hại đăng ký Android mới có tên bọ chét đã được khai quật trên Cửa hàng Google Play, tích lũy tổng cộng hơn 620.000 lượt tải xuống kể từ năm 2022.
Kaspersky, đã xác định được 11 ứng dụng trên cửa hàng ứng dụng chính thức, cho biết phần mềm độc hại này đã giả dạng các ứng dụng chỉnh sửa ảnh, máy ảnh và gói hình nền điện thoại thông minh hợp pháp. Các ứng dụng đã bị gỡ xuống.
Hoạt động này chủ yếu nhắm vào người dùng từ Thái Lan, mặc dù dữ liệu từ xa do công ty an ninh mạng Nga thu thập đã tiết lộ các nạn nhân ở Ba Lan, Malaysia, Indonesia và Singapore.
Các ứng dụng còn cung cấp chức năng đã hứa để tránh giương cờ đỏ, nhưng che giấu mục đích thực sự của chúng dưới vỏ bọc. Danh sách các ứng dụng vi phạm như sau –
Beauty Camera Plus (com.beauty.camera.plus.photoeditor) Beauty Photo Camera (com.apps.camera.photos) Beauty Slimming Photo Editor (com.beauty.slimming.pro) Fingertip Graffiti (com.draw.graffiti) GIF Camera Trình chỉnh sửa (com.gif.camera.editor) Hình nền HD 4K (com.hd.h4ks.wallpaper) Máy ảnh Impressionism Pro (com.impressionism.prozs.app) Trình chỉnh sửa video Microclip (com.microclip.vodeoeditor) Máy ảnh Chế độ ban đêm Pro (com .urox.opixe.nightcamreapro) Trình chỉnh sửa máy ảnh (com.toolbox.photoeditor) Trình chỉnh sửa hiệu ứng ảnh (com.picture.pictureframe)
Nhà nghiên cứu Dmitry Kalinin của Kaspersky cho biết: “Khi ứng dụng khởi động, nó sẽ tải một thư viện gốc bị xáo trộn nặng nề có chứa một trình nhỏ giọt độc hại giải mã và chạy một trọng tải từ nội dung ứng dụng”.
Về phần mình, tải trọng được thiết kế để liên hệ với máy chủ từ xa và truyền thông tin về thiết bị bị xâm nhập (ví dụ: Mã quốc gia di động và Mã mạng di động), sau đó máy chủ phản hồi lại bằng trang đăng ký trả phí.
Sau đó, phần mềm độc hại sẽ mở trang trong cửa sổ trình duyệt web vô hình và cố gắng đăng ký thay mặt người dùng bằng cách lạm dụng quyền truy cập thông báo và lấy mã xác nhận cần thiết để hoàn thành bước.
Trong một dấu hiệu cho thấy Fleckpe đang được tích cực phát triển, các phiên bản gần đây của phần mềm độc hại đã chuyển hầu hết chức năng độc hại sang thư viện gốc nhằm tránh bị các công cụ bảo mật phát hiện.
Kalinin lưu ý: “Tải trọng hiện chỉ chặn thông báo và xem các trang web, đóng vai trò là cầu nối giữa mã gốc và các thành phần Android cần thiết để mua đăng ký”.
“Không giống như thư viện gốc, tải trọng gần như không có khả năng trốn tránh, mặc dù các tác nhân độc hại đã thêm một số mã làm xáo trộn vào phiên bản mới nhất.”
Đây không phải là lần đầu tiên phần mềm độc hại đăng ký được tìm thấy trên Google Play Store. Fleckpe tham gia cùng các họ phần mềm lông cừu khác như Joker (còn gọi là Bread hoặc Jocker) và Harly, những công ty đăng ký các thiết bị bị nhiễm các dịch vụ cao cấp không mong muốn và tiến hành gian lận thanh toán.
Mặc dù các ứng dụng như vậy không nguy hiểm như phần mềm gián điệp hoặc trojan tài chính, nhưng chúng vẫn có thể phải chịu các khoản phí trái phép và được các nhà khai thác tái sử dụng để thu thập nhiều loại thông tin nhạy cảm và dùng làm điểm xâm nhập cho phần mềm độc hại bất chính hơn.
Nếu có, những phát hiện này là một dấu hiệu khác cho thấy các tác nhân đe dọa đang tiếp tục khám phá những cách mới để lén đưa ứng dụng của họ lên các chợ ứng dụng chính thức nhằm mở rộng quy mô chiến dịch của họ, yêu cầu người dùng phải thận trọng khi tải xuống ứng dụng và cấp quyền cho chúng.
Kalinin cho biết: “Sự phức tạp ngày càng tăng của các trojan đã cho phép chúng vượt qua thành công nhiều cuộc kiểm tra chống phần mềm độc hại được thực hiện bởi các thị trường, không bị phát hiện trong thời gian dài”.
