Một loạt ứng dụng trojanized mới được phát tán qua Cửa hàng Google Play đã được quan sát thấy đã phân phối phần mềm độc hại khét tiếng Joker trên các thiết bị Android bị xâm nhập.
Joker, một kẻ tái phạm, đề cập đến một loại ứng dụng có hại được sử dụng để gian lận thanh toán và SMS, đồng thời thực hiện một số hành động theo lựa chọn của kẻ tấn công độc hại, chẳng hạn như đánh cắp tin nhắn văn bản, danh sách liên hệ và thông tin thiết bị.
Bất chấp những nỗ lực liên tục của Google để mở rộng quy mô phòng thủ của mình, các ứng dụng đã liên tục được lặp lại để tìm kiếm các lỗ hổng và đưa vào cửa hàng ứng dụng mà không bị phát hiện.
Nhà nghiên cứu Igor Golovin của Kaspersky cho biết: “Chúng thường được phát tán trên Google Play, nơi những kẻ lừa đảo tải xuống các ứng dụng hợp pháp từ cửa hàng, thêm mã độc vào chúng và tải lại chúng lên cửa hàng dưới một tên khác”, nhà nghiên cứu Igor Golovin của Kaspersky cho biết trong một báo cáo được công bố vào tuần trước.
Các ứng dụng trojanized, thay thế cho các ứng dụng bị loại bỏ của chúng, thường xuất hiện dưới dạng ứng dụng nhắn tin, theo dõi sức khỏe và máy quét PDF, sau khi được cài đặt, yêu cầu quyền truy cập tin nhắn văn bản và thông báo, lạm dụng chúng để đăng ký người dùng với các dịch vụ cao cấp.
Một thủ thuật lén lút được Joker sử dụng để vượt qua quy trình kiểm tra của Google Play là làm cho tải trọng độc hại của nó “không hoạt động” và chỉ kích hoạt các chức năng của nó sau khi các ứng dụng đã hoạt động trên Cửa hàng Play.
Ba trong số các ứng dụng bị nhiễm Joker được Kaspersky phát hiện đến cuối tháng 2 năm 2022 được liệt kê dưới đây. Mặc dù chúng đã bị xóa khỏi Google Play nhưng chúng vẫn tiếp tục có sẵn từ các nhà cung cấp ứng dụng bên thứ ba.
Thông báo kiểu (com.stylelacat.messagearound), Ứng dụng đo huyết áp (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health) và Máy quét PDF trên máy ảnh (com.jiao.hdcam.docscanner)
Đây không phải là lần đầu tiên trojan đăng ký được phát hiện trên các chợ ứng dụng. Năm ngoái, các ứng dụng cho Cửa hàng ứng dụng APKPure và một bản mod WhatsApp được sử dụng rộng rãi đã bị phát hiện bị xâm nhập bởi phần mềm độc hại có tên là Triada.
Sau đó vào tháng 9 năm 2021, Zimperium đã kết thúc một kế hoạch kiếm tiền tích cực có tên GriftHorse, theo sau nó là một trường hợp lạm dụng dịch vụ cao cấp khác có tên là Dark Herring vào đầu tháng 1 này.
“Trojan đăng ký có thể vượt qua sự phát hiện của bot trên các trang web cho các dịch vụ trả phí và đôi khi chúng đăng ký người dùng vào các dịch vụ không tồn tại của chính những kẻ lừa đảo,” Golovin nói.
“Để tránh đăng ký không mong muốn, hãy tránh cài đặt ứng dụng từ các nguồn không chính thức, đây là nguồn phần mềm độc hại thường xuyên nhất.”
Ngay cả khi tải xuống ứng dụng từ các cửa hàng ứng dụng chính thức, người dùng nên đọc các bài đánh giá, kiểm tra tính hợp pháp của nhà phát triển, điều khoản sử dụng và chỉ cấp các quyền cần thiết để thực hiện các chức năng đã định.
.
