Sinh viên Việt Nam phát triển 42 ứng dụng adware trên Android với 8 triệu lượt tải xuống
Các nhà nghiên cứu đã phát hiện thấy 42 ứng dụng adware trên Google Play Store với hơn 8 triệu lượt tải xuống được phát triển bởi một sinh viên Việt Nam. Ban đầu các ứng dụng này được phân phối dưới dạng các ứng dụng hợp pháp nhưng sau đó đã được cập nhật để hiển thị quảng toàn màn hình (full-screen) độc hại trên thiết bị của người dùng.
Nếu có bất kỳ ứng dụng nào liệt kê dưới đây hiện đang được cài đặt trên
thiết bị Android của bạn thì tốt hơn hết là hãy gỡ bỏ chúng ngay lập tức.
Adware là phần mềm không mong muốn được thiết kế để xuất hiện quảng cáo trên màn hình thiết bị của người dùng.
Nhà phát triển 42 adware là một sinh viên Việt Nam
Nhà nghiên cứu bảo mật của ESET Lukas Stefanko cho biết các ứng dụng adware
trên Android này được phát triển bởi một sinh viên đại học người Việt Nam. Không
khó để truy xuất danh tính của cậu sinh viên này vì có vẻ như anh ta chưa từng bận
tâm đến việc che giấu danh tính của mình.
Các chi tiết đăng ký có sẵn công khai của một tên miền được liên kết với các ứng dụng adware đã giúp tìm ra danh tính của nhà phát triển, bao gồm tên thật, địa chỉ và số điện thoại. Nhờ những thông tin này, cuối cùng nhà nghiên cứu cũng đã tìm ra được tài khoản cá nhân trên Facebook , GitHub và YouTube của người tạo ra các adware.
Trong một bài đăng trên blog được công bố mới đây, Stefanko cho biết “Nhà phát triển của các ứng dụng này không thực hiện bất kỳ biện pháp nào để bảo vệ danh tính của mình. Dường như lúc bạn đầu cậu ta không có ý định thực hiện các hành vi thiếu trung thực”.
Có vẻ như sau một thời gian triển khai các ứng dụng trên Google
Play, anh ta đã quyết định tăng doanh thu quảng cáo của mình bằng cách triển
khai chức năng adware trong mã ứng dụng của mình.
Tất cả 42 ứng dụng adware đều cung cấp các chức năng cụ thể như Radio
FM, trình tải xuống video hoặc trò chơi nên hầu hết người dùng rất khó phát hiện
ra các ứng dụng độc hại hoặc tìm thấy bất kỳ điều gì khả nghi.
Thủ thuật adware “tàng hình” và khả năng phục hồi
Được gọi là họ adware “Ashas”, các thành phần độc hại trong nó
sẽ kết nối với máy chủ chỉ huy và kiểm soát từ xa do nhà phát triển vận hành và
tự động gửi thông tin cơ bản về thiết bị Android với một trong những ứng dụng adware
được cài đặt.
Sau đó, ứng dụng sẽ nhận dữ liệu cấu hình từ máy chủ C&C, nơi chịu
trách nhiệm hiển thị quảng cáo theo lựa chọn của kẻ tấn công và áp dụng một số
thủ thuật để “tàng hình” và phục hồi. Dưới đây sẽ đề cập một số thủ thuật tiêu
biểu.
Để ẩn chức năng độc hại khỏi cơ chế bảo mật của Google Play, trước tiên
các ứng dụng sẽ kiểm tra địa chỉ IP của thiết bị bị nhiễm và nếu nó nằm trong
phạm vi địa chỉ IP đã biết cho máy chủ Google, ứng dụng sẽ không kích hoạt payload
adware.
Để ngăn người dùng liên kết ngay lập tức các quảng cáo không mong muốn
với ứng dụng của mình, nhà phát triển cũng đã thêm chức năng để đặt độ trễ tùy
chỉnh giữa hiển thị quảng cáo và cài đặt ứng dụng.
Ngoài ra, các ứng dụng cũng ẩn các biểu tượng của chúng trên menu
Android điện thoại và tạo một lối tắt nhằm ngăn chặn khả năng người dùng gỡ cài
đặt.
Stfanko cho biết nếu một người dùng thông thường cố gắng
thoát khỏi ứng dụng độc hại, rất có thể chỉ có các phím tắt cuối cùng bị xóa. Ứng
dụng sẽ tiếp tục chạy trong nền mà người dùng không hề hay biết.
Lưu ý đặc biệt dành cho người dùng
Bên cạnh đó, nếu người dùng bị ảnh truy cập vào mục “các ứng dụng gần đây” (recent apps) để kiểm tra ứng dụng nào đang phân phối quảng cáo thì các adware này sẽ hiển thị biểu tượng Facebook hoặc Google để lừa người dùng tin rằng quảng cáo đang được hiển thị bởi một dịch vụ hợp pháp.
Mặc dù Stefanko không nói nhiều về loại quảng cáo mà adware
này phân phối tới thiết bị của người dùng nhưng thông thường các adware sẽ thường
hiển thị các quảng cáo có liên hệ với các trang web lừa đảo và độc hại.
Stefanko đã báo cáo cho nhóm bảo mật của Google về những phát hiện của mình. Phía công ty cũng đã xóa các ứng dụng được đề cập khỏi nền tảng Play Store .
Tuy nhiên, nếu bạn đã tải xuống điện thoại Android của mình bất kỳ ứng
dụng giả mạo nào được liệt kê trên đây thì tốt hơn hết là hãy xóa ngay lập tức
bằng cách vào phần cài đặt của thiết bị.
Người dùng Apple iOS cũng được khuyến nghị nên kiểm tra iPhone của mình vì nhà phát triển độc hại cũng có các ứng dụng trên App Store của Apple. Dẫu vậy, tính đến thời điểm hiện tại, vẫn chưa có bất kỳ phát hiện nào liên quan tới chức năng adware được bao gồm trong các ứng dụng trên nền tảng iOS.
THN
The post Sinh viên Việt Nam phát triển 42 ứng dụng adware trên Android với 8 triệu lượt tải xuống appeared first on SecurityDaily .