Trong vài năm qua, những nỗ lực của Google trong việc xóa các ứng dụng độc hại và phần mềm gián điệp khỏi Cửa hàng Play là rất đáng khen ngợi, nhưng thỉnh thoảng, có một vài ứng dụng lọt vào tầm ngắm. Giờ đây, theo một báo cáo từ Cyfirma, hai ứng dụng phần mềm gián điệp, nSure Chat và iKHfaa VPN, đã tích cực lây nhiễm vào thiết bị của người dùng để giành quyền truy cập trái phép.
iKHfaa VPN, được hỗ trợ bởi nhóm hack Ấn Độ có tên là “DoNot” hoặc APT-C-35 và hoạt động từ Pakistan, đặc biệt lừa đảo, vì nó không chỉ sao chép mã từ một ứng dụng có tên “Liberty VPN” mà còn chèn mã bổ sung để truy cập danh sách liên hệ và cho phép theo dõi vị trí của người dùng theo thời gian thực.
Dấu hiệu nhận biết phần mềm độc hại
Mặc dù ban đầu những ứng dụng này có vẻ hợp pháp nhưng quá trình cài đặt của chúng sẽ khiến người dùng lo ngại. Điều này là do, không giống như các VPN chính hãng, yêu cầu các quyền tối thiểu, iKHfaa VPN truy cập danh sách liên hệ của người dùng và dữ liệu vị trí chính xác. Và sau khi có các quyền cần thiết, ứng dụng sẽ thu thập dữ liệu cần thiết và gửi đến máy chủ chỉ huy và kiểm soát (C2) của tác nhân đe dọa thông qua yêu cầu HTTP.
Tuy nhiên, thực tế là nhà phát triển các ứng dụng độc hại này, Security Industry, cũng có một ứng dụng thứ ba dường như không phải độc hại đặt ra một số câu hỏi về ý định của nhóm. Tuy nhiên, nếu bạn đã cài đặt nSure Chat hoặc iKHfaa VPN trên thiết bị của mình, hãy xóa nó ngay lập tức.
Thực hiện các biện pháp bảo mật
Mặc dù số lượt tải xuống tương đối thấp đối với các ứng dụng phần mềm gián điệp này cho thấy rằng các tác nhân đe dọa đang nhắm mục tiêu cụ thể vào các cá nhân, sự cố này một lần nữa nhấn mạnh tầm quan trọng ngày càng tăng đối với người dùng trong việc triển khai các biện pháp bảo mật nghiêm ngặt. Các biện pháp này bao gồm đọc các điều khoản và đánh giá của bất kỳ ứng dụng nào trước khi cài đặt và xem xét cẩn thận các quyền mà ứng dụng yêu cầu. Ngoài ra, nếu bất kỳ ứng dụng nào trên điện thoại của bạn gây nóng quá mức, hoạt động chậm chạp hoặc nhanh hết pin thì đó cũng có thể là phần mềm độc hại.