Một bộ ứng dụng Android nhiễm Trojan Joker khác lại xuất hiện trên Cửa hàng Google Play

Một loạt ứng dụng bị trojan hóa mới được phát tán qua Cửa hàng Google Play đã được phát hiện phát tán malware khét tiếng Joker trên các thiết bị Android bị xâm nhập.



Joker, một mã độc tái xuất đề cập đến một lớp ứng dụng có hại được sử dụng để gian lận thanh toán và SMS, đồng thời thực hiện một số hành động theo lựa chọn của hacker chẳng hạn như đánh cắp tin nhắn văn bản, danh sách liên lạc và thông tin thiết bị.



Bất chấp những nỗ lực liên tục từ phía Google để gia cố phòng thủ, các ứng dụng vẫn liên tục được phát tán để tìm kiếm các lỗ hổng và lọt vào cửa hàng ứng dụng mà không bị phát hiện.



Chuyên gia Igor Golovin của Kaspersky cho biết trong một báo cáo vào tuần trước rằng: “Chúng thường được phát tán trên Google Play, nơi những kẻ lừa đảo tải xuống các ứng dụng hợp pháp từ cửa hàng, thêm mã độc vào chúng và tải lại chúng lên cửa hàng dưới một tên khác”.



Các ứng dụng bị trojan hóa thay thế cho các ứng dụng bị loại bỏ của chúng, thường xuất hiện dưới dạng ứng dụng nhắn tin, theo dõi sức khỏe và máy quét PDF. Sau khi được cài đặt, chúng yêu cầu quyền truy cập tin nhắn văn bản và thông báo, lạm dụng chúng để đăng ký người dùng với các dịch vụ cao cấp.



Một thủ thuật lén lút được Joker sử dụng để vượt qua quy trình kiểm tra của Google Play là làm cho mã độc của nó “không hoạt động” và chỉ kích hoạt các chức năng của nó sau khi các ứng dụng đã được tải lên Google Play.



Ba trong số các ứng dụng bị nhiễm Joker được Kaspersky phát hiện tính đến cuối tháng 2 năm 2022 được liệt kê dưới đây. Mặc dù chúng đã bị xóa khỏi Google Play nhưng chúng vẫn tiếp tục có sẵn từ các nhà cung cấp ứng dụng bên thứ ba.




Style Message (com.stylelacat.messagearound)
Blood Pressure App (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health)
Camera PDF Scanner (com.jiao.hdcam.docscanner)

Đây không phải là lần đầu tiên trojan được phát hiện trên các chợ ứng dụng. Năm ngoái, các ứng dụng cho Cửa hàng ứng dụng APKPure và một bản mod WhatsApp được sử dụng rộng rãi đã bị phát hiện bị xâm nhập bởi mã độc có tên là Triada.



Sau đó vào tháng 9 năm 2021, Zimperium đã kết thúc một kế hoạch kiếm tiền có tên GriftHorse , theo sau đó là một trường hợp lạm dụng dịch vụ cao cấp khác có tên là Dark Herring vào đầu tháng 1 này.



Golovin cho biết: “Trojan đăng ký có thể vượt qua phương pháp phát hiện bot trên các trang web cho các dịch vụ trả phí và đôi khi chúng đăng ký người dùng vào các dịch vụ không tồn tại của chính những kẻ lừa đảo. Để tránh các đăng ký không mong muốn, hãy tránh cài đặt ứng dụng từ các nguồn không chính thức, đây là nguồn mã độc phổ biến nhất”.



Ngay cả khi tải ứng dụng từ các cửa hàng ứng dụng chính thức, người dùng vẫn nên đọc các bài đánh giá, kiểm tra tính hợp pháp của nhà phát triển, điều khoản sử dụng và chỉ cấp các quyền cần thiết để thực hiện các chức năng đã định.



Richard Melick, giám đốc báo cáo mối đe dọa tại Zimperium, cho biết trong một tuyên bố được chia sẻ với The Hacker News rằng: “Mã độc Joker là một ví dụ rõ ràng về trò chơi mèo vờn chuột đã xảy ra trong nhiều năm giữa các lớp bảo mật và các tin tặc đứng đằng sau nó”.



“Mỗi bản cập nhật chứng tỏ hết lần này đến lần khác rằng bảo mật cơ bản và quản lý thiết bị di động là chưa đủ. Dựa vào giả mạo và nhân bản ứng dụng, Joker tiếp tục thực hiện lặp đi lặp lại các bản cập nhật và cải tiến để có thể vượt qua OEM và bảo mật cơ bản , khiến điểm cuối di động và người dùng gặp rủi ro”.



Theo Thehackernews
The post Một bộ ứng dụng Android nhiễm Trojan Joker khác lại xuất hiện trên Cửa hàng Google Play appeared first on SecurityDaily .