Bạn đã từng nghe nói về các ứng dụng Android độc hại được phân phối qua Cửa hàng Google Play trước đây. Không phải một hai lần mà có thể là hàng chục lần. Mới tuần trước, chúng tôi đã bắt gặp một ứng dụng như vậy đã theo dõi người dùng của nó. Chà, các nhà nghiên cứu bảo mật tại công ty an ninh mạng Doctor Web đã tìm thấy 101 ứng dụng Android chứa đầy phần mềm gián điệp khác trên Cửa hàng Play. Tổng cộng, các ứng dụng độc hại này đã được cài đặt hơn 421 triệu lần. Giờ đây, đó là một con số có thể khiến bất kỳ người bị ám ảnh về bảo mật nào cũng phải ớn lạnh sống lưng.
Được công ty đặt tên là Android.Spy.SpinOk, mô-đun phần mềm gián điệp này có thể thu thập thông tin về các tệp được lưu trữ trên thiết bị và chuyển chúng đến máy chủ từ xa được điều hành bởi các tác nhân đe dọa đằng sau chiến dịch này. Nó cũng có thể gửi nội dung clipboard cho họ. Thực tế, phần mềm gián điệp này có thể đánh cắp thông tin quan trọng từ điện thoại của bạn mà bạn không hề hay biết và chuyển thông tin đó cho những kẻ độc hại có thể sử dụng thông tin đó để khởi động một cuộc tấn công thậm chí còn tàn khốc hơn. Nếu bạn lưu chi tiết ngân hàng trong khay nhớ tạm hoặc các tệp nhạy cảm khác trong điện thoại của mình, bạn thậm chí có thể bị mất tiền.
Phần mềm gián điệp đã ảnh hưởng đến 101 ứng dụng Android và theo dõi 421 triệu người dùng của chúng
Theo báo cáo mới, các tác nhân đe dọa đã phân phối mô-đun phần mềm gián điệp này dưới dạng SDK tiếp thị. Các nhà nghiên cứu giải thích: “Nhìn bề ngoài, mô-đun SpinOk được thiết kế để duy trì sự quan tâm của người dùng đối với các ứng dụng với sự trợ giúp của các trò chơi nhỏ, hệ thống nhiệm vụ cũng như các giải thưởng được cho là và bản vẽ phần thưởng”. Các chức năng này thúc đẩy sự tương tác của người dùng, thường thu hút sự chú ý của các nhà phát triển cá nhân đang cố gắng hết sức để kiếm tiền từ các ứng dụng và trò chơi Android của họ. Vì vậy, họ nhúng mô-đun vào dự án của mình mà không cần đắn đo suy nghĩ.
Tuy nhiên, ngay sau khi ứng dụng được khởi chạy, mô-đun phần mềm gián điệp được kích hoạt, nó sẽ bắt đầu các hoạt động độc hại đằng sau hậu trường. Nó sử dụng các chiến thuật khác nhau để tránh bị phát hiện. Mô-đun phần mềm gián điệp thậm chí có thể xác định môi trường giả lập và điều chỉnh lịch trình hoạt động của nó để các nhà nghiên cứu bảo mật không thể phát hiện ra.
Mô-đun này cũng bỏ qua cài đặt proxy của thiết bị để ẩn các kết nối mạng trong quá trình phân tích. Tất cả điều này làm cho nó trở thành phần mềm gián điệp khá nguy hiểm. Tệ hơn nữa, nó đã ảnh hưởng đến hơn 421 triệu thiết bị Android. Dưới đây là mười ứng dụng bị ảnh hưởng hàng đầu với nhiều lượt cài đặt nhất.
Noizz: trình chỉnh sửa video có nhạc (100.000.000) Zapya – Truyền tệp, Chia sẻ (100.000.000) VFly: trình chỉnh sửa video & trình tạo video (50.000.000) MVBit – Trình tạo trạng thái video MV (50.000.000 ) Biugo – trình tạo video & biên tập video (50.000.000) Crazy Drop (10.000.000) Cashzine – Kiếm tiền thưởng (10.000.000) Fizzo Novel – Đọc ngoại tuyến (10.000.000) CashEM: Nhận phần thưởng (5.000.000) Tick: xem để kiếm (5.000.000)
Doctor Web đã thông báo cho Google về chiến dịch phần mềm gián điệp này. Nhưng khi viết bài này, hầu hết các ứng dụng vẫn có sẵn trên Play Store. Lưu ý rằng các phiên bản mới nhất của một số ứng dụng không còn chứa mô-đun phần mềm gián điệp, kể cả Zapya. Bạn có thể tìm thấy danh sách đầy đủ các ứng dụng bị ảnh hưởng tại đây. Nếu bạn đã cài đặt bất kỳ ứng dụng nào trong số đó, hãy gỡ bỏ ứng dụng đó ngay lập tức.