HummingBad, malware nguy hiểm từng ảnh hưởng tới 10 triệu người dùng Android hồi năm ngoái, đang âm thầm quay trở lại.
HummingWhale, tên gọi của malware mới, là 1 biến thể của HummingBad, cái tên được đặt cho một loạt ứng dụng độc hại tràn lan trên các chợ ứng dụng Android ngoài (không do Google kiểm soát) mà các nhà nghiên cứu phát hiện ra hồi tháng 7 năm ngoái. HummingBad tìm cách qua mặt các lớp bảo mật bằng cách khai thác các lỗ hổng chưa được vá từ đó giúp nó chiếm quyền điều khiển những thiết bị chạy các bản Android cũ. Trước khi bị Google tiêu diệt, malware này đã cài hơn 50.000 ứng dụng lừa đảo mỗi ngày lên thiết bị người dùng, hiển thị 20 triệu quảng cáo độc hại, và tạo ra hơn 300.000 USD doanh thu mỗi tháng. Theo thống kê, có tới 10 triệu người dùng Android trên toàn thế giới đã tải về các ứng dụng chứa malware HummingBad.
Trong khi đó, biến thể mới HummingWhale của nó lại tìm cách ẩn mình trong khoảng 20 ứng dụng trên Google Play có lượt tải từ 2 triệu tới 12 triệu lượt, theo các nhà nghiên cứu của công ty bảo mật Check Point. Đây cũng là hãng đã theo dõi "đường đi nước bước" gia đình malware này trong gần 1 năm nay. Thay vì root thiết bị, biến thể mới nhất tích hợp các kỹ thuật máy ảo mới cho phép malware thực hiện các hành vi quảng cáo gian lận tinh vi hơn bao giờ hết, theo công bố của Check Point trên blog của hãng.
"Người dùng phải nhận ra rằng, họ không còn có thể đặt niềm tin là chỉ cần cài ứng dụng từ các kho ứng dụng đáng tin cậy thì sẽ được an toàn. Malware này sử dụng nhiều mưu mẹo để ẩn giấu hành vi của nó, nghĩa là người dùng có thể không biết đến sự tồn tại của malware trên thiết bị của họ" - hãng bảo mật cảnh báo.
Với trường hợp của HummingBad, mục đích của HummingWhale là kiếm tiền bằng cách hiển thị các quảng cáo gian lận và tự động cài ứng dụng lên smartphone/tablet người dùng. Khi người dùng tìm cách tắt quảng cáo, ứng dụng bị lây nhiêm malware mà người dùng đã tải về sẽ chạy trong 1 máy ảo. Từ đây, một ID giả mạo được tạo ra giúp hacker kiếm được tiền từ việc giới thiệu, tăng lượt tải cho ứng dụng đó (nhưng thực chất lượt tải này chỉ là ảo).
Sử dụng máy ảo mang lại nhiều thuận lợi cho hacker, khi nó cho phép malware cài ứng dụng mà không cần người dùng phải chấp thuận yêu cầu truy cập vào các thành phần của thiết bị. Máy ảo cũng giúp hacker dễ dàng ẩn giấu hoạt động gian lận của chúng, giúp ứng dụng dễ dàng hơn trong việc xâm nhập vào Google Play. Ngoài ra, một lợi ích khác là nó cho phép hacker cài ứng dụng lừa đảo với số lượng không hạn chế mà không làm thiết bị người dùng bị quá tải.
Gian lận xếp hạng trên Play Store
Để có thể sử dụng máy ảo cho hành vi gian lận, HummingWhale sử dụng DroidPlugin, một extension ban đầu được phát triển bởi các nhà phát triển đến từ công ty Trung Quốc Qihoo 360, theo công bố của Check Point. Qua theo dõi, các nhà nghiên cứu cũng nhận thấy, HummingWhale tìm cách ẩn ứng dụng độc hại sau khi nó được cài lên thiết bị, đồng thời tìm cách lấy lòng tin người dùng bằng việc tự động tạo ra các bình luận và bình chọn (rating) tích cực bên dưới ứng dụng đó trên Google Play. Gooligan, một dòng malware Android bị lôi ra ánh sáng hồi tháng 11 năm ngoái và ảnh hưởng tới hơn 1 triệu tài khoản Google, cũng dùng kỹ thuật tương tự để làm xáo trộn kết quả xếp hạng trên chợ Play Store của Google.
Người dùng Android nếu muốn biết mình có bị nhiễm malware trên hay không có thể tải về ứng dụng của Check Point tại đây để kiểm tra. Nếu là người sành về công nghệ, bạn có thể kiểm tra xem thiết bị của mình liệu có kết nối tới 1 máy chủ điều khiển tại địa chỉ app.blinkingcamera.com. Được biết, tên gói phần mềm (package name) của các ứng dụng lây nhiễm thường chứa một cấu trúc tên phổ biến là com.XXXXXXXXX.camera (một vài ví dụ như com.bird.sky.whale.camera - tên ứng dụng: Whale Camera; com.color.rainbow.camera - tên ứng dụng Rainbow Camera, và com.fishing.when.orangecamera (tên ứng dụng Orange Camera).
Google hiện đã gỡ các ứng dụng độc hại khỏi Play Store sau khi nhận được báo cáo của Check Point về sự xuất hiện của chúng, tuy nhiên, hãng tìm kiếm hiện không bình luận gì thêm về biến thể malware mới được phát hiện này.
Theo ICTNews
Thêm bình luận