Nhiều ứng dụng giả mạo phát tán mã độc trên điện thoại Android, chiếm quyền kiểm soát

Công ty bảo mật mạng Bitdefender cho biết, có một rào cản ngăn cách giữa Google Play Store và App Store và nó liên quan đến cơ chế thanh toán trong ứng dụng và cài ứng dụng bên thứ ba.

Mặc dù cả Apple và Google đều thu về khoản hoa hồng 30% thông qua các nền tảng thanh toán trong ứng dụng nhưng người dùng iOS buộc phải mua hàng trong ứng dụng thông qua App Store vì Apple ngăn cản các nhà phát triển cung cấp nền tảng thanh toán thay thế. Đơn cử như trường hợp Epic Games cung cấp cho khách hàng một nền tảng thanh toán thay thế, do đó đã vi phạm các quy tắc của Apple và dẫn tới việc trò chơi nổi tiếng Fornite của Epic bị loại bỏ khỏi App Store.

Không giống như App Store, người dùng Android về cơ bản không buộc phải mua hàng trong ứng dụng thông qua Google Play. Đó là bởi vì Google Play không bị bó buộc như App Store. Google cũng cho phép người dùng Android tải về ứng dụng từ cửa hàng bên thứ ba.

Tuy nhiên nếu như lừa được người dùng Android sử dụng các cửa hàng ứng dụng của bên thứ ba, kẻ xấu có thể thuyết phục người dùng Android cài đặt các ứng dụng có nhiều khả năng chứa mã độc.

Bitdefender đã chỉ ra hai chương trình banker trojan mới có tên là TeaBot và Flubot. Hai chương trình này đánh lừa người dùng Android cài đặt những ứng dụng tưởng chừng là hợp pháp từ các thương hiệu phổ biến và nổi tiếng nhưng hóa ra lại là mã độc.

Bitdefender mới đây đã tìm thấy năm ứng dụng Android độc hại mới có chứa trojan TeaBot và bắt chước các ứng dụng Android hợp pháp phổ biến. Trong đó có ít nhất một ứng dụng đã được cài đặt hơn 50 triệu lần.

Công ty an ninh mạng này cho biết, họ phát hiện thấy các ứng dụng chứa trojan TeaBot sử dụng các ứng dụng Ad Blocker giả để cài cắm mã độc. Các ứng dụng giả mạo yêu cầu quyền hiển thị trên các ứng dụng khác, ví dụ như hiển thị thông báo và cài đặt ứng dụng bên ngoài Play Store. Sau khi các ứng dụng này được cài đặt, các biểu tượng ứng dụng sẽ bị ẩn.

TeaBot có khả năng gây ra một số thiệt hại nghiêm trọng bao gồm, đánh cắp thông tin người dùng thông qua Android Accessibility Service của Android, chặn tin nhắn, thưc hiện các hoạt động keylogging khác nhau, đánh cắp mã xác thực Google Authentication và thậm chí chiếm toàn quyền điều khiển từ xa của thiết bị Android.

Gần 93% các ứng dụng giả mạo đang cố gắng cài cắm TeaBot trong một ứng dụng có tên là MediaPlayer. Thực tế đây là một ứng dụng giả mạo đang cố gắng bắt chước một trong những tựa ứng dụng phổ biến nhất Play Store, đó là VLC. Ngoài ra theo thống kê đã có 79,5% mã độc Teabot được phát hiện ở Tây Ban Nha, 11,18% đã phát tán ở Ý và ở Hà Lan là 4,6%.

Trong khi TeaBot giả danh là trình chặn quảng cáo thì Flubot lại phát tán qua spam SMS và theo Bitdefender, mã độc này đánh cắp thông tin ngân hàng, liên hệ, SMS và các loại dữ liệu cá nhân khác từ các thiết bị bị nhiễm, đồng thời cung cấp một kho các lệnh có sẵn, bao gồm gửi SMS với nội dung từ máy chủ CnC cung cấp.

Flubot cũng ẩn nấp trong các ứng dụng vận chuyển như DHL Express Mobile với hơn 1 triệu lượt cài đặt từ Cửa hàng Google Play, Fedex với hơn 5 triệu lượt cài đặt Android và Correos với hơn 500.000 lượt tải xuống.

Thực tế có một cách để bảo vệ bạn khỏi nguy cơ bị mã độc ghé thăm. Bitdefender khuyên bạn không nên tải ứng dụng bên thứ ba trên thiết bị của mình nếu không chắc chắn nguồn gốc của nó.

Nói cách khác, tốt nhất nên cài các ứng dụng đã được xác thực và đánh giá cao trên App Store và Google Play. Ngoài ra, bạn không nên nhấn vào các liên kết trong tin nhắn gửi đến và "luôn lưu ý các quyền đối với ứng dụng Android".