Tải hay không tải
Hãng Trend Micro nói, hầu hết người dùng quan tâm đến các ứng dụng khổng lồ của Google Play nhưng họ lại tải về các ứng dụng từ cửa hàng của bên thứ ba. Có nhiều lý do cho việc này, ví dụ như không có mã mở khóa các ứng dụng. Một số nhà phát triển ứng dụng thậm chí còn hợp tác với các cửa hàng ứng dụng của bên thứ ba để cung cấp cho người dùng tải về với mức giá ưu đãi. Các cửa hàng ứng dụng của bên thứ ba đôi khi được nhiều người dùng ưa thích do sự phổ biến của nó trong một khu vực cụ thể.
Trend Micro cũng cho biết, người dùng Android phải ghi nhớ rằng cài đặt các ứng dụng từ kho ứng dụng của bên thứ ba thường yêu cầu người sử dụng cho phép cài đặt từ “những nguồn không rõ”. Ứng dụng độc hại xuất hiện dưới dạng cửa sổ popping từ các trang web của bên thứ ba và đó là lý do tại sao nó thường được khuyến cáo người dùng Android nên sử dụng dịch vụ của Google Play. Bởi các biện pháp bảo mật của Google là nền tảng an toàn nhất để tải ứng dụng. Tuy nhiên, các cửa hàng ứng dụng bên thứ ba hiện nay cũng đang triển khai thực hiện các phương tiện để thắt chặt an ninh của mình.
Cẩn thận và chú ý hơn
Theo khảo sát của các chuyên gia hãng phần mềm diệt virus Trend Micro, ứng dụng độc hại thời gian gần đây đã được tìm thấy rất nhiều trong các cửa hàng ứng dụng của bên thứ ba. Chúng giả mạo ứng dụng phổ biến, làm tăng cơ hội của việc lựa chọn và tải về. Bao gồm các trò chơi phổ biến trên điện thoại di động, các ứng dụng bảo mật di động, ứng dụng camera, âm nhạc trực tuyến,... Chúng thậm chí còn chia sẻ cùng một gói chính xác và chứng nhận Google Play là đối tác của chúng.
Đặc điểm đáng chú ý nhất của các ứng dụng độc hại, chẳng hạn như tập tin ANDROIDOS_LIBSKIN.A đã bị phát hiện, là nguy cơ bám rễ sâu vào hệ thống. Điều đó có nghĩa là các ứng dụng độc hại có thể là cửa ngõ mang đến các mối đe dọa lớn hơn và ảnh hưởng đến hệ thống Android. Các phần mềm độc hại sau khi xâm nhập sẽ tải và cài đặt các ứng dụng khác mà không cần sự đồng ý của người sử dụng. Những ứng dụng bí mật tải về sau đó sẽ tự xuất hiện như quảng cáo thu hút người sử dụng để tiếp tục quy trình tải các ứng dụng khác theo thời gian. Chúng cũng có thể được sử dụng để thu thập dữ liệu người dùng và chuyển cho những kẻ tấn công.
Dựa trên dữ liệu từ dịch vụ uy tín Trend Micro Mobile App của hãng phần mềm diệt virus Trend Micro, có 1.163 APK độc hại được phát hiện như ANDROIDOS_ LIBSKIN.A. Các ứng dụng độc hại đã được tải về tại 169 quốc gia và được tìm thấy trong 4 cửa hàng ứng dụng bên thứ ba là Aptoide, Mobogenie, mobile9 và 9apps. Trend Micro đã liên hệ với các cửa hàng và thông báo cho họ về các mối đe dọa, nhưng chúng tôi vẫn chưa nhận được bất kỳ xác nhận từ cuối cùng của họ.
Dòng chảy nhiễm trùng
Khi người dùng cài đặt các ứng dụng độc hại, đồng thời sẽ tải file libskin.so trong phần đầu của ứng dụng (file .so được cho là một tập tin biên soạn trong hầu hết các trường hợp từ mã nguồn C hay C ++).
Hình 2. Luồng nhiễm ANDROIDOS_LIBSKIN.A
Các libskin.so xếp dọn ZIP hoặc các tập tin APK. Các tập tin tự cài đặt tự động và được ẩn trong thư mục / lib để tránh bị phát hiện. Sau đó, nó tải ZIP / APK và tải lần lượt hai tập tin riêng .DEX tìm thấy trong fp.JAR và fx.JAR. Các file .JAR chứa độc hại chạy âm thầm và tự động.
Hình 3. fp.jar và fx.jar tìm thấy bên trong ZIP / file APK
fp.dex có hai chức năng; đầu tiên, nó tải về các module right_core.apk gốc, sau khi tấn công vào hệ thống điện thoại, nó tải các ứng dụng độc hại từ một tập hợp các URL và cài đặt chúng trong thư mục hệ thống.
fx.dex chịu trách nhiệm về hình ảnh quảng cáo pop-up hoặc nhắc nhở download. Vì hành vi này, người dùng không thể báo cáo ứng dụng cho các cửa sổ pop-up.
Các quảng cáo thu hút người dùng nhấp vào ứng dụng không mong muốn, sau đó người dùng sẽ được dẫn dẫn đến ứng dụng hoặc trang web tương ứng. Hơn nữa, ANDROIDOS_LIBSKIN.A cũng có thể thu thập dữ liệu của người dùng như: dữ liệu, ID thuê báo, ID thiết bị,… để sử dụng cho những mục đích đen tối.
Hãng Trend Micro khuyên người dùng nên tải các ứng dụng từ trang web của nhà phát triển và nên cài đặt ứng dụng bảo mật để bảo vệ thiết bị mọi lúc mọi nơi.
