Thỉnh thoảng, những ứng dụng Android đáng ngờ lại xuất hiện trên cửa hàng Google Play. Những ứng dụng khác lại được đặt trên các trang web của bên thứ ba và có vẻ vô hại.
May mắn là chúng ta có thể dựa vào các chuyên gia bảo mật như Trend Micro Research để theo dõi các ứng dụng độc hại.
Công ty nghiên cứu về phân tích các mối đe dọa này đã phát hiện ra hàng loạt các ứng dụng mới mà bạn phải xóa ngay lập tức nếu bạn đã cài đặt chúng trên điện thoại của mình.
Các ứng dụng đã bị loại bỏ khỏi Google Play
Trend Micro Research đã phát hiện hai mã độc Android đang nhắm vào người dùng sử dụng ứng dụng tiền điện tử và tài chính.
Mã độc đầu tiên được gọi là CherryBlos và nó được lan truyền qua việc quảng bá trên các mạng xã hội, dẫn dắt người dùng đến các trang web lừa đảo để tải xuống các ứng dụng độc hại.
Mã độc này có khả năng đánh cắp thông tin đăng nhập tiền điện tử và thay đổi địa chỉ sử dụng trong quá trình rút tiền.
Phần mềm độc hại này sử dụng một công cụ bảo vệ chống sao chép tiên tiến được gọi là Jiagubao để tránh bị phát hiện.
Nó yêu cầu người dùng cấp quyền truy cập và sử dụng các kỹ thuật chống bị chặn, chẳng hạn như bỏ qua tối ưu hóa pin. Nó cũng đưa người dùng trở lại màn hình chính khi họ vào cài đặt của ứng dụng, có lẽ để tránh việc bị gỡ bỏ.
Tổng cộng, đã tìm thấy bốn ứng dụng chứa mã độc CherryBlos và chúng được đặt trên các trang web khác nhau:
- GPTalk có địa chỉ là chatgptc[.]io
- Happy Miner có địa chỉ là happyminer[.]com
- Robot 999 có địa chỉ là robot999[.]net
- SynthNet có địa chỉ là synthnet[.]ai
Cách tấn công là hiển thị một giao diện giả mạo khi người dùng khởi chạy một ứng dụng chính thức để đánh cắp thông tin đăng nhập. Số tiền rút được gửi đến địa chỉ do kẻ tấn công điều khiển.
Mã độc này sử dụng công nghệ OCR để nhận dạng các cụm từ ghi nhớ tiềm năng. Một ứng dụng có tên Synthnet được phát triển bởi cùng một nhà phát triển đã được tìm thấy trên Google Play, nhưng nó không chứa mã độc.
Các ứng dụng khác là một phần của chiến dịch FakeTrade và họ dụ người dùng tải xuống các ứng dụng giả vờ kiếm tiền, tuyên bố tăng thu nhập thông qua việc giới thiệu và nạp tiền, nhưng lại ngăn người dùng rút tiền khi họ thực hiện việc này.
CherryBlos đã được phát hiện có liên kết với các ứng dụng này và chúng đã có sẵn ở các khu vực Google Play khác nhau như Indonesia, Malaysia, Mexico, Philippines, Uganda và Việt Nam, nhưng đã bị xóa bỏ. Dưới đây là danh sách các tên ứng dụng này:
- AMA
- BBShop
- Canyon
- Domo
- Envoy
- Fair
- FIRETOSS
- Gobuy
- GoDo
- Goshop
- Huge
- Koofire
- Leefire
- Moshop
- NtBuy
- Onefire
- Papaya
- Saya
- Smartz
- Upwork
- WebFx
- Youtech
Nếu bạn đã mắc sai lầm tải xuống bất kỳ ứng dụng nào trong số này trên điện thoại của bạn, hãy xóa chúng ngay lập tức.
Trong tương lai, chỉ tải xuống các ứng dụng từ các nguồn đáng tin cậy và hãy kiểm tra những đánh giá để đảm bảo không có bất kỳ rủi ro nào.
