[Cảnh báo] Malware được tìm thấy trong ứng dụng Android CamScanner

[Cảnh báo] Malware được tìm thấy trong ứng dụng Android CamScanner

August 28, 2019 | vietsunshine

Hãy cẩn thận!

Kẻ tấn công có thể chiếm quyền điều khiển từ xa thiết bị Android của bạn và đánh cắp dữ liệu được lưu trữ trên thiết bị đó, nếu bạn đang sử dụng phiên bản miễn phí của CamScanner, một ứng dụng tạo file PDF trên điện thoại rất phổ biến với hơn 100 triệu lượt tải xuống từ Google Play Store.

Vì vậy, để an toàn, bạn nên gỡ cài đặt ứng dụng CamScanner khỏi thiết bị Android của bạn, vì Google cũng đã gỡ bỏ ứng dụng khỏi Play Store chính thức.

Các nhà nghiên cứu đã tìm thấy mô-đun Trojan Dropper ẩn trong ứng dụng CamScanner ó thể cho phép kẻ tấn công từ xa bí mật tải xuống và cài đặt chương trình độc hại trên thiết bị Android của người dùng mà họ không hề hay biết.

Tuy nhiên, mô-đun độc hại không thực sự nằm trong mã của chính ứng dụng CamScanner Android; thay vào đó, nó là một phần của thư viện quảng cáo bên thứ 3 gần đây đã được giới thiệu trong ứng dụng.

Được phát hiện bởi các nhà nghiên cứu bảo mật của Kaspersky, vấn đề được đưa ra ánh sáng sau khi nhiều người dùng CamScanner phát hiện ra hành vi đáng ngờ và đăng các đánh giá tiêu cực trên Google Play Store trong vài tháng qua, cho thấy sự hiện diện của một tính năng không mong muốn.

“Có thể giả định rằng lý do tại sao phần mềm độc hại này được thêm vào là sự hợp tác của các nhà phát triển ứng dụng với một nhà quảng cáo ‘vô đạo đức'”, các nhà nghiên cứu cho biết.

Phân tích của mô-đun Trojan Dropper độc hại đã tiết lộ rằng thành phần tương tự cũng được quan sát trước đây trong một số ứng dụng được cài đặt sẵn trên điện thoại thông minh Trung Quốc.

“Mô-đun trích xuất và chạy một mô-đun độc hại khác từ một tệp được mã hóa có trong tài nguyên của ứng dụng. Do đó, chủ sở hữu của mô-đun có thể sử dụng một thiết bị bị nhiễm vì lợi ích của họ theo bất kỳ cách nào họ thấy phù hợp, từ hiển thị quảng cáo đến ăn cắp tiền từ tài khoản di động của họ bằng cách tính phí đăng ký,” các nhà nghiên cứu cảnh báo.

Các nhà nghiên cứu của Kaspersky đã báo cáo phát hiện của mình cho Google, và Google đã nhanh chóng gỡ bỏ ứng dụng CamScanner khỏi Play Store, nhưng họ nói “có vẻ như các nhà phát triển ứng dụng đã loại bỏ mã độc với bản cập nhật mới nhất của CamScanner.”

Mặc dù vậy, các nhà nghiên cứu khuyên người dùng chỉ nên ghi nhớ rằng “các phiên bản của ứng dụng khác nhau đối với các thiết bị khác nhau và một số trong số chúng vẫn có thể chứa mã độc”.

Cần lưu ý rằng vì phiên bản trả tiền của ứng dụng CamScanner không bao gồm thư viện quảng cáo của bên thứ 3 và do đó, mô-đun độc hại, nó không bị ảnh hưởng và vẫn có sẵn trên Google Play Store.

Mặc dù Google đã tăng cường nỗ lực loại bỏ các ứng dụng có khả năng gây hại khỏi Play Store trong vài năm qua và thêm các kiểm tra phần mềm độc hại nghiêm ngặt hơn cho các ứng dụng mới, các ứng dụng hợp pháp có thể chứa malware và nhắm mục tiêu đến hàng triệu người dùng.

“Điều chúng ta có thể học được từ câu chuyện này là bất kỳ ứng dụng nào – thậm chí một ứng dụng từ một cửa hàng chính thức, thậm chí một ứng dụng có uy tín và thậm chí một ứng dụng có hàng triệu đánh giá tích cực và một cơ sở người dùng lớn, trung thành đã biến thành phần mềm độc hại chỉ sau một đêm,” Các nhà nghiên cứu kết luận.

Do đó, bạn nên luôn luôn giữ một ứng dụng chống vi-rút tốt trên thiết bị Android có thể phát hiện và chặn các hoạt động độc hại đó trước khi chúng có thể lây nhiễm vào thiết bị của bạn.

Ngoài ra, luôn luôn xem xét các đánh giá ứng dụng do những người dùng khác đã tải xuống ứng dụng để lại và cũng xác minh các quyền của ứng dụng trước khi cài đặt bất kỳ ứng dụng nào và chỉ cấp các quyền đó có liên quan cho mục đích của ứng dụng.

Để biết thêm chi tiết kỹ thuật về phần mềm độc hại Trojan Dropper có trong CamScanner và danh sách đầy đủ các chỉ số thỏa hiệp (IOC) bao gồm MD5 hashes và các tên miền máy chủ chỉ huy và kiểm soát (command and control server) của nó, bạn có thể truy cập vào báo cáo của Kaspersky.

Nguồn: WARNING — Malware Found in CamScanner Android App With 100+ Million Users

Tags: ,