[Cảnh Báo] Adware-Ridden đang bùng phát trên Android

April 26, 2019

Có hơn 50 ứng dụng độc hại đã được phát hiện trên Google Play, những ứng dụng này đang ngầm chạy quảng cáo trên hàng triệu thiết bị Android.

Trong một bài phân tích vào hôm thứ 3 vừa qua, các nhà nghiên cứu của Avast cho biết khoảng 50 ứng dụng chứa adware (với hơn 30 triệu lượt tải) đã được gỡ bỏ. Các ứng dụng này bao gồm thể thao, photoshop và game.

Các nhà nghiên cứu cho biết “Các ứng dụng chứa adware đã tự liên kết với nhau bằng cách sử dụng các thư viện Android của bên thứ ba và bỏ qua các hạn chế dịch vụ nền trong những phiên bản Android mới nhất. Ngoài ra, các ứng dụng được đề cập trong bài viết này, đang sử dụng những thư viện ấy để quảng cáo xuất hiện nhiều hơn trên thiết bị của người dùng, vi phạm các quy định của Google play.”

Các ứng dụng được gỡ bỏ gồm: Chess Battle, Connect the Dots, Easy Pics Cutter, Magic Gamepad – Stress Releaser & Boredom Blocker, Pro Photo Blur, Free Watermark Camera 2019 và Magic Cut Out. Còn rất nhiều cái tên được sàn lọc, các bạn có thể xem qua danh sách tại đây.

Ứng dụng chứa adware núp bóng dưới dạng một ứng dụng thể thao

Adware là một loại phần mềm độc hại, sau khi được tải xuống nó sẽ khiến nhiều quảng cáo xuất hiện trên toàn màn hình người dùng, cùng với các đề xuất cài thêm các adware khác. Các nhà nghiên cứu cho biết, đến nay họ đã phát hiện ra phiên bản thứ hai của adware được đặt tên “TsSdk”, sau một khoản thời gian phiên bản đầu tiên được phát hiện.

Phiên bản đầu tiên với 3,6 triệu lượt tải trên Google Play là các ứng dụng trò chơi đơn giản, thể dục hoặc chỉnh sửa ảnh – chẳng hạn như một ứng dụng có tên HiFit. Chúng hầu hết được phát tán ở Ấn Độ, Indonesia, Philippines, Pakistan, Bangladesh và Nepal.

Các ứng dụng này lúc bạn đầu vẫn cung cấp đúng nội dung như mô tả trên Google Play. Tuy nhiên, sau đấy họ đã âm thầm thêm các lối tắt cho adware và Game Center. Một khi người dùng đã nhấn vào một trong hai, thì màn hình của họ bắt đầu xuất hiện nhiều quảng cáo và trò chơi khác nhau che khuất toàn màn hình.

“Ở phiên bản đầu, adware này dễ bị nhận biết khi phân tích nó qua file cài đặt SDK, và đây là phiên bản dễ nhận biết nhất trong hai phiên bản”, các nhà nghiên cứu cho hay. Và họ chia sẽ thêm “một số biến thể của [Phiên bản này] cũng sử dụng phương pháp tương tự.”

Phiên bản thứ hai, có con số khổng lồ hơn với 28 triệu lượt tải, chủ yếu thông qua các ứng dụng thể dục và âm nhạc được phân phối ở Philippines, Ấn Độ, Indonesia, Malaysia, Brazil, Nepal và Vương quốc Anh

Các nhà nghiên cứu của LINE cho biết “Phiên bản này khá tinh vi, nó được mã hoá và thực hiện các bước kiểm tra trước trên thiết bị của nạn nhân, việc này giúp nó tránh bị phát hiện. Ngoài ra, mã của nó được mã hóa bằng trình đóng gói Tencent, sẽ mất rất nhiều thời để các nhà phân tích giải nén. Tuy vậy, nó cũng không khó để phát hiện khi sử dụng phương pháp phân tích động trong apklab.io.”

Dưới đây là video cho thấy ứng dụng chứa adware hoạt động như thế nào:

Các nhà nghiên cứu còn cho biết thêm “ngoài Google Play, phiên bản adware mới này còn được phân phối trên Facebook. Thiết bị nạn nhân sẽ liên tục xuất hiện quảng cáo mỗi 15 phút sau khi ứng dụng được cài đặt 4 tiếng.

Hồi tháng một vừa qua, mặc dù Google Play thông báo sẽ tăng cường truy quét các ứng dụng độc hại ra khỏi cửa hàng ứng dụng. Nhưng thực tế, tình hình tệ hơn trong hơn một tháng trở lại đây. Đã có 2 mã độc banking bẻ khoá thông tin xác thực được các chuyên gia phát hiện và sau đấy Google Play phải gỡ bỏ nó. Ngoài ra tháng trước, một phần mềm gián điệp Android có tên MobSTSPY đã xuất hiện trên cửa hàng Google play nhằm lây nhiễm trojan vào máy các nạn nhân cũng mới được phát hiện. Theo như báo cáo hồi đầu năm ngoái, Google play cũng đã phải gỡ bỏ hơn 22 ứng dụng chứa adware có lượt tải cùng nhau lên đến 7,5 triệu lượt. Chúng ẩn danh dưới các ứng dụng như đèn pin, máy ghi ấm và bộ tăng tốc tín hiệu WiFi.

Nguồn threatpost.com