Phát hiện hàng loạt ứng dụng Android mới đang âm thầm ăn cắp tiền của người dùng

Nhiều ứng dụng độc hại trên kho ứng dụng Android đã có hơn 3 triệu lượt tải và có thể đang âm thầm gây hại cho rất nhiều người.

Maxime Ingrao, nhà nghiên cứu bảo mật tại công ty an ninh mạng Evina đã phát hiện ra một họ phần mềm độc hại mới có thể lây nhiễm qua các ứng dụng Android trên Google Play Store.

Nó được đặt tên là Autolycos - một nhân vật đồng âm trong thần thoại Hy Lạp được biết đến với tài ăn trộm và lừa gạt. Và đó chính xác là những gì ứng dụng độc hại này đã làm.

Kể từ tháng 6/2021, Ingrao đã xác định được tám ứng dụng độc hại trên Play Store và nhiều ứng dụng đã được tải xuống hơn 3 triệu lần.

Theo báo cáo của Evina, mục tiêu chính của Autolycos là đăng ký người dùng sử dụng dịch vụ Thanh toán qua nhà cung cấp dịch vụ di động trực tiếp (DCB) cao cấp mà họ không biết hoặc không đồng ý.

Không giống như mã độc Joker khởi chạy trình duyệt ẩn và sử dụng Webview, Autolycus khởi chạy các chiêu trò gian lận bằng cách thực hiện các yêu cầu http mà không cần sử dụng trình duyệt.

Ở một số bước, nó có thể thực thi các url trên trình duyệt từ xa và nhúng kết quả vào các yêu cầu http. Dưới đây là cách Autolycos có thể truy cập mã PIN xác minh bằng cách đọc thông báo của điện thoại:

Chế độ hoạt động của mã độc khiến Google khó phân biệt được các ứng dụng bị nhiễm với các ứng dụng hợp pháp. Đó là lý do tại sao nó không bị phát hiện trong một thời gian dài.

Để lừa càng nhiều người dùng càng tốt, tội phạm mạng đứng sau Autolycos thậm chí còn quảng cáo các ứng dụng chứa mã độc qua Facebook và Instagram.

Ingrao đã xác định 74 chiến dịch quảng cáo cho một trong những ứng dụng bị nhiễm mã độc, đó là ứng dụng Razer Keyboard & Theme.

Các dấu vết cũng đã được tìm thấy ở châu Á và các nước châu Âu khác, bao gồm Tây Ban Nha, Áo, Ba Lan và Đức. Điều này cho thấy sự gia tăng đáng báo động.

Những ứng dụng bị nhiễm virus là gì?

Evina và Ingao đã chia sẻ danh sách tám ứng dụng được cho nhiễm mã độc:

- Razer Keyboard & Theme - hơn 10.000 lượt tải

- Vlog Star Video Editor - hơn 1.000.000 lượt tải

- Funny Camera - hơn 500.000 lượt tải

- Coco Camera - hơn 1.000 lượt tải

- Creative 3D Launcher - hơn 1.000.000 lượt tải

- GIF Keyboard - hơn 100.000 lượt tải

- Freeglow Camera - hơn 5.000 lượt tải

- Wow Camera - hơn 100.000 lượt tải

Điều thú vị là Ingao cho biết ông đã thông báo cho Google vào tháng 6/2021. Mặc dù công ty thừa nhận đã nhận được báo cáo nhưng phải mất sáu tháng mới xóa sáu ứng dụng đầu tiên.

Vào ngày 13/7, Google đã loại bỏ nốt hai ứng dụng chứa mã độc cuối cùng là Funny Camera và Razer Keyboard & Theme.

Tuy nhiên theo phát hiện của cây viết Ioanna Lykiardopoulou đến từ trang The Next Web, một ứng dụng trông giống hệt với ứng dụng Vlog Star Video Editor đã bị xóa sổ trước đó vừa mới xuất hiện. Nó giống từ hình ảnh đến mô tả nhưng nay có tên gọi mới Vlog Star Video Maker.

Điều này có nghĩa là ngay cả khi các ứng dụng được xác định đã bị xóa, người dùng vẫn nên cảnh giác vì những kẻ lừa đảo đằng sau đó có thể tiếp tục phát hành các ứng dụng khác chứa mã độc.

Làm thế nào để bảo vệ bản thân

Không có chiến lược chắc chắn để tránh mã độc trong ứng dụng nhưng có một số bước đơn giản bạn có thể thực hiện để ngăn chặn điều đó.

- Không cấp quyền cho ứng dụng đọc nội dung SMS của bạn khi cài đặt.

- Kiểm tra quyền chia sẻ dữ liệu của bên thứ ba.

- Đọc các nhận xét về ứng dụng

- Luôn bật tính năng Play Protect

- Đừng dễ dàng tải xuống bất kỳ ứng dụng nào mà không tìm hiểu kỹ

- Xóa các ứng dụng bạn không còn sử dụng.