Hàng trăm ngàn người tải xuống spyware từ Google Play

Hàng trăm ngàn người tải xuống spyware từ Google Play

January 8, 2019 | vietsunshine

Các nhà nghiên cứu bảo mật của Trend Micro phát hiện ra hàng trăm ngàn người dùng đã tải xuống phần mềm gián điệp dưới dạng các ứng dụng có vẻ hợp pháp từ Google Play.

Phần mềm độc hại được phát hiện là MobSTSPY, có thể thu thập nhiều thông tin khác nhau từ các nạn nhân. Để phân phối, tội phạm mạng đã giả mạo là các ứng dụng Android hợp pháp và up chúng lên Google Play.

Trend Micro đã phát hiện ra tổng cộng sáu ứng dụng như vậy, bao gồm FlashLight, HZPermis Pro Arabe, Win7imulator, Win7Launcher, Flappy Bird và Flappy Birr Dog. Có sẵn để tải xuống trong Google Play vào năm 2018, một số trong số này đã được người dùng từ khắp nơi trên thế giới tải xuống hơn 100.000 lần.

Khi một trong những ứng dụng này đã được cài đặt trên thiết bị nạn nhân, phần mềm gián điệp có thể tiến hành đánh cắp thông tin như các cuộc hội thoại SMS, nhật ký cuộc gọi, vị trí người dùng và các mục trong clipboard. Phần mềm độc hại gửi thông tin được thu thập đến máy chủ của kẻ tấn công bằng cách sử dụng Firebase Cloud Messaging.

Sau khi thực hiện ban đầu, phần mềm độc hại sẽ kiểm tra tính khả dụng của mạng Thiết bị, sau đó nó đọc và phân tích tệp cấu hình XML từ máy chủ chỉ huy và kiểm soát (C&C) của nó. Tiếp theo, nó thu thập thông tin như ngôn ngữ được sử dụng trên thiết bị, quốc gia đã đăng ký, tên gói, nhà sản xuất, v.v.

Thông tin sau đó được gửi đến máy chủ C&C cho mục đích đăng ký. Sau khi hoàn thành bước này, phần mềm độc hại sẽ chờ máy chủ gửi lệnh để thực thi.

Dựa trên các lệnh đã nhận, phần mềm gián điệp không chỉ có thể đánh cắp tin nhắn SMS và nhật ký cuộc gọi mà còn có thể truy xuất danh sách liên lạc và tệp được tìm thấy trên thiết bị.

Các phần mềm độc hại cũng có thể thực hiện một cuộc tấn công lừa đảo để thu thập thông tin xác thực từ thiết bị bị nhiễm, các nhà nghiên cứu bảo mật phát hiện. Nó có thể hiển thị các cửa sổ bật lên giả mạo của Facebook và Google, do đó lừa người dùng tiết lộ chi tiết tài khoản của họ.

Sau khi người dùng cung cấp thông tin đăng nhập, một cửa sổ bật lên giả mạo thông báo cho họ rằng đăng nhập không thành công, nhưng tại thời điểm này, malware đã đánh cắp thông tin đăng nhập.

Theo các nhà nghiên cứu, những người dùng bị ảnh hưởng đến từ 196 quốc gia khác nhau. Ấn Độ bị ảnh hưởng nhiều nhất, với hơn 31% các ca nhiễm bệnh, tiếp theo là Nga (7,5%), Pakistan (4,8%), Bangladesh (4,7%) và Indonesia (3,4%). Brazil, Ai Cập, Ukraine, Thổ Nhĩ Kỳ và Hoa Kỳ cũng nằm trong số mười quốc gia chịu ảnh hưởng nặng nề nhất.

Điều này một lần nữa là hồi chuông cảnh báo cho người dùng về việc thận trọng khi tải các ứng dụng xuống thiết bị của mình.

Tags: , ,