Một số ứng dụng mới trên cửa hàng Play được phát hiện đang phân phối phần mềm độc hại Joker, Facestealer và Coper

Google đã thực hiện các bước để loại bỏ hàng chục ứng dụng gian lận từ Cửa hàng Play chính thức bị phát hiện tuyên truyền các họ , Facestealer và Coper thông qua thị trường ảo.

Mặc dù cửa hàng Android được coi là nguồn đáng tin cậy để khám phá và cài đặt ứng dụng, nhưng những kẻ xấu đã liên tục tìm cách để vượt qua các hàng rào bảo mật do Google dựng lên với hy vọng dụ người dùng không nghi ngờ tải xuống các ứng dụng có chứa .

Những phát hiện mới nhất từ ​​Zscaler ThreatLabz và Pradeo cũng không có gì khác biệt. Các nhà nghiên cứu Viral Gandhi và Himanshu Sharma cho biết: “Joker là một trong những họ phần mềm độc hại nổi bật nhất nhắm vào các thiết bị Android.

“Bất chấp nhận thức của công chúng về phần mềm độc hại cụ thể này, nó vẫn tiếp tục tìm đường vào cửa hàng ứng dụng chính thức của Google bằng cách thường xuyên sửa đổi các chữ ký theo dõi của phần mềm độc hại bao gồm cập nhật mã, phương pháp thực thi và kỹ thuật truy xuất tải trọng.”

Được phân loại là phần mềm lông cừu, Joker (hay còn gọi là Bread) được thiết kế để đăng ký người dùng sử dụng các dịch vụ trả phí không mong muốn hoặc thực hiện cuộc gọi đến các số đặc biệt, đồng thời thu thập tin nhắn SMS, danh sách liên hệ và thông tin thiết bị. Nó được quan sát lần đầu tiên trong Cửa hàng Play vào năm 2017.

Xem tiếp:   Sự trỗi dậy mới nhất của Botnet Emotet đã lan rộng đến hơn 100.000 máy tính

Tổng cộng có 53 ứng dụng tải xuống của Joker đã được xác định bởi hai công ty an ninh mạng, với các ứng dụng được tải xuống tổng cộng hơn 330.000 lần. Các ứng dụng này thường đóng vai trò là SMS, trình chỉnh sửa ảnh, máy đo huyết áp, bàn phím biểu tượng cảm xúc và ứng dụng dịch, đến lượt nó, yêu cầu quyền cao hơn để thiết bị thực hiện các hoạt động của nó.

Các nhà nghiên cứu giải thích: “Thay vì chờ đợi các ứng dụng đạt được khối lượng cài đặt và đánh giá cụ thể trước khi hoán đổi lấy phiên bản có chứa phần mềm độc hại, các nhà phát triển Joker đã thực hiện ẩn tải trọng độc hại trong một tệp tài sản chung và ứng dụng gói bằng cách sử dụng các gói thương mại” chiến thuật mới được phần mềm độc hại dai dẳng áp dụng để vượt qua sự phát hiện.

Không chỉ Joker, nhà nghiên cứu bảo mật Maxime Ingrao tuần trước đã tiết lộ tám ứng dụng có chứa một biến thể khác của phần mềm độc hại có tên Autolycos đã đạt tổng cộng hơn ba triệu lượt tải xuống trước khi bị xóa khỏi cửa hàng ứng dụng sau hơn sáu tháng.

Nhà nghiên cứu Pieter Arntz của Malwarebytes cho biết: “Điểm mới về loại này là nó không còn yêu cầu WebView nữa. “Việc không yêu cầu WebView làm giảm đáng kể khả năng người dùng của thiết bị bị ảnh hưởng nhận thấy điều gì đó khó hiểu đang diễn ra. Autolycos tránh WebView bằng cách thực thi URL trên trình duyệt từ xa và sau đó đưa kết quả vào các yêu cầu HTTP.”

Xem tiếp:   Các chiến dịch quảng cáo độc hại mới lan truyền Backdoor, Tiện ích mở rộng Chrome độc ​​hại

Cũng được phát hiện trên thị trường chính thức là các ứng dụng nhúng phần mềm độc hại Facestealer và Coper. Trong khi phần mềm trước đây cho phép các nhà khai thác bòn rút thông tin đăng nhập Facebook và mã thông báo xác thực, Coper – hậu duệ của phần mềm độc hại Exobot – hoạt động như một trojan ngân hàng có thể ăn cắp nhiều loại dữ liệu.

Coper “có khả năng chặn và gửi tin nhắn văn bản SMS, thực hiện USSD (Dữ liệu dịch vụ bổ sung không có cấu trúc) để gửi tin nhắn, keylogging, khóa / mở khóa màn hình thiết bị, thực hiện các cuộc tấn công quá mức, ngăn chặn việc gỡ cài đặt và nói chung cho phép kẻ tấn công kiểm soát và thực hiện lệnh trên thiết bị bị nhiễm thông qua kết nối từ xa với máy chủ C2 “, các nhà nghiên cứu cho biết.

Phần mềm độc hại, giống như các trojan ngân hàng khác, cũng được biết là lạm dụng quyền truy cập trên Android để giành toàn quyền kiểm soát điện thoại của nạn nhân. Danh sách các ứng dụng nhỏ giọt của Facestealer và Coper như sau:

Máy ảnh Vanilla (cam.vanilla.snapp) Máy quét QR Unicc (com.qrdscannerratedx)

Nếu bất cứ điều gì, những phát hiện thêm vào lịch sử lâu đời của Google trong việc đấu tranh để ngăn chặn các ứng dụng và phần mềm lông cừu như vậy khỏi cửa hàng ứng dụng dành cho thiết bị di động của mình, một phần là do vô số chiến thuật phát triển được các tác nhân đe dọa áp dụng để bay dưới tầm ngắm.

Xem tiếp:   Tin tặc Gold Ulrick vẫn hoạt động bất chấp việc rò rỉ phần mềm độc hại hàng loạt

Bên cạnh các quy tắc thông thường khi tải xuống ứng dụng từ các cửa hàng ứng dụng, người dùng nên hạn chế cấp các quyền không cần thiết cho ứng dụng và xác minh tính hợp pháp của chúng bằng cách kiểm tra thông tin nhà phát triển, đọc đánh giá và xem xét kỹ lưỡng các chính sách bảo mật của họ.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …