Ngày 18 tháng 4 năm 2023Ravie LakshmananBảo mật di động / Hacking
Một dòng phần mềm độc hại Android mới có tên vàng son đã được phát hiện trong Cửa hàng Google Play chính thức bao gồm hơn 60 ứng dụng hợp pháp có tổng cộng hơn 100 triệu lượt tải xuống.
Thêm tám triệu lượt cài đặt đã được theo dõi thông qua ONE store, một cửa hàng ứng dụng bên thứ ba hàng đầu ở Hàn Quốc.
Thành phần giả mạo là một phần của thư viện phần mềm bên thứ ba được các ứng dụng liên quan sử dụng và có khả năng thu thập thông tin về các ứng dụng đã cài đặt, thiết bị được kết nối Wi-Fi và Bluetooth cũng như vị trí GPS.
“Hơn nữa, thư viện được trang bị chức năng thực hiện gian lận quảng cáo bằng cách nhấp vào quảng cáo trong nền mà không có sự đồng ý của người dùng”, nhà nghiên cứu bảo mật McAfee SangRyol Ryu cho biết trong một báo cáo được công bố vào tuần trước.
Hơn nữa, nó bao gồm khả năng tải trang web một cách lén lút, một tính năng có thể bị lạm dụng để tải quảng cáo vì lợi nhuận tài chính. Nó đạt được điều này bằng cách tải mã HTML trong một WebView ẩn và hướng lưu lượng truy cập đến các URL.
Sau khi tiết lộ có trách nhiệm với Google, 36 trong số 63 ứng dụng vi phạm đã bị xóa khỏi Cửa hàng Google Play. 27 ứng dụng còn lại đã được cập nhật để loại bỏ thư viện độc hại.
Một số ứng dụng nổi bật bao gồm –
L.POINT với L.PAY Swipe Brick Breaker (đã loại bỏ) Money Manager Expense & Budget TMAP – 대리,주차,전기차 충전,킥보드를 티맵에서! 롯데시네마 지니뮤직 – thần đèn 컬쳐랜드[컬쳐캐쉬] Trình phát GOM 메가박스 (đã xóa) và Điểm TRỰC TIẾP, Điểm thời gian thực
Các phát hiện nêu bật nhu cầu của các nhà phát triển ứng dụng phải minh bạch về các phụ thuộc được sử dụng trong phần mềm của họ, chưa kể đến việc thực hiện các bước thích hợp để bảo vệ thông tin của người dùng khỏi sự lạm dụng đó.
Kern Smith, phó chủ tịch kỹ thuật bán hàng của Châu Mỹ tại Zimperium, cho biết: “Những kẻ tấn công đang trở nên tinh vi hơn trong nỗ lực lây nhiễm các ứng dụng hợp pháp trên các nền tảng.
“Việc sử dụng SDK và mã của bên thứ ba và khả năng đưa mã độc hại vào các ứng dụng hợp pháp khác của họ chỉ tiếp tục phát triển khi những kẻ tấn công bắt đầu nhắm mục tiêu vào chuỗi cung ứng phần mềm để đạt được dấu ấn lớn nhất có thể.”
Sự phát triển diễn ra khi Cyble loại bỏ một trojan ngân hàng Android mới có tên là Chameleon đã hoạt động từ tháng 1 năm 2023 và đang nhắm mục tiêu người dùng ở Úc và Ba Lan.
Trojan này không khác gì các phần mềm độc hại ngân hàng khác được phát hiện ngoài tự nhiên do nó lạm dụng các dịch vụ trợ năng của Android để thu thập thông tin đăng nhập và cookie, ghi lại các thao tác gõ phím, ngăn chặn quá trình gỡ cài đặt và thực hiện các hoạt động bất chính khác.
Nó cũng được thiết kế để hiển thị các lớp phủ giả mạo trên một danh sách ứng dụng cụ thể, chặn tin nhắn SMS và thậm chí bao gồm một chức năng không sử dụng cho phép nó tải xuống và thực thi một tải trọng khác.
Chameleon, đúng với tên gọi của nó, có xu hướng trốn tránh bằng cách kết hợp kiểm tra chống giả lập để phát hiện xem thiết bị đã được root hay thiết bị đang được thực thi trong môi trường gỡ lỗi và nếu vậy, nó sẽ tự chấm dứt.
Để giảm thiểu các mối đe dọa như vậy, người dùng được khuyến nghị chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy, xem xét kỹ lưỡng quyền của ứng dụng, sử dụng mật khẩu mạnh, bật xác thực đa yếu tố và thận trọng khi nhận SMS hoặc email từ những người gửi không xác định.
