[Cảnh báo]Joker Malware một lần nữa vượt mặt hệ thống bảo mật của google để xuất hiện trên Play Store.

July 11, 2020

Vào khoảng giữa năm 2017, thế giới bắt ngờ với một con malware trên Android với tên Joker Malware. Không chỉ đặt tên Joker cho “oách” mà con malware này được phát tán với nhiều hình thức tinh quái và ma mãnh không kém Joker “chính hãng” là bao.

Joker Malware có thể moi tiền của bạn bằng cách đăng ký các dịch vụ ảo / hoặc cao cấp; có thể chiếm quyề SMS để giả lập giao dịch cần xác thực OTP; ăn cắp thôn tin trên máy v.v… Và đáng sợ ở chỗ là Malware này qua mặt cơ chế bảo mật của Google Play Store với nhiều cách nhau: từ cơ chế cài đặt sạch rồi tải mã độc sau đến cơ chế qua mặt hệ thống kiểm tra của google bằng cơ chế hẹn giờ hiển thị quảng cáo và tải mã độc…

Qua hàng loạt những nâng cấp, càn quét của Google nhưng Joker Malware cứ độ nữa năm lại xuất hiện một lần như vào tháng 9 / 2019 và 7 / 2020 (hiện tại). Hãy cũng người viết tìm hiểu xem trong đợt này Joker Malware làm cách nào qua mặt được hệ thống bảo mật của Google và đường hoàng xuất hiện trên Play Store như “Chưa bao giờ có cuộc chia ly”.

Biến thể 2020 có gì?

Không chỉ Google mà các công ty bảo mật vẫn thường xuyên liệt Joker Malware vào đối tượng nguy hiểm. Các cách thức để tải mã độc của Joker Malware được bóc tách phân tích triệt để nhằm có các đối pháp phù hợp ngăn chặn sự phát tán của nó. “Đạo cao một thước, Ma cao một trượng” mỗi lần Joker Malware xuất hiện lại là một cách phát tán mới và biến thể mới này cũng sử dụng kỹ thuật versioning (đầu tiên kẻ này tải phiên bản “sạch” của ứng dụng lên Play Store để người dùng tin tưởng, sau đó âm thầm thêm mã độc thông qua các bản cập nhật ứng dụng) nhưng có thay đổi khác hơn chút để qua mặt các hệ thống bảo mật bằng cách lợi dụng file manifest (tập tin kê khai) của ứng dụng để tải file DEX đã được mã hóa Base64. Có vài ứng dụng còn kỳ công hơn khi file DEX chỉ được tải lên sau khi sử dụng ứng dụng được một khoảng thời gian thông qua phương thức Reflection API (hẹn giờ để thực hiện một hành động gì đó, ở đây là tải file DEX)

Tường lửa Google gần như rất khó nhận diện được biến thể 2020 của Joker Malware vì nhìn kiểu nào cái file gốc mà “nó” đưa mình duyệt thoạt trong rất là “sạch”; các cổng truyền tải API cũng “sạch” nốt; người dùng trong chục phút đầu cũng “an toàn” nên Google ngày và luôn. Vậy là 11 ứng dụng đã vượt rào để xuất hiện trên Google Play Store. Oái oăm hơn, biến thể 2020 cho phép hacker quản lý được việc tạm ngừng các hoạt động độc hại rồi sau đó mở nó lại để tránh bị “công an kiểm tra”.

Đây là danh sách của 11 ứng dụng đó, các bạn xem mình có lỡ cài cái nào thì… reset máy đi nhé.

Tên App sẽ là cụm nằm giữa ví dụ: Imagecompress = Image Compress; cherry.message = Cherry Message nhé

BONUS

Trước khi cài đặt bất cứ chương trình gì từ Ứng dụng điện thoại đến phần mềm máy tính, các bạn nên đọc trước phần chia sẽ của người dùng bên dưới. Việt Nam chúng ta những năm gần đây cũng bắt đầu chịu chia sẽ, đánh giá trên phần Review của ứng dụng rồi nên sau này dù bạn không rành tiếng Tây vẫn có nhiều review tiếng Việt cho bạn xem. Nên chịu khó xem các phần đánh giá trước khi tải nhé

Chịu khó đọc đánh giá cũng là cách để bạn tìm hiểu nhé.

BTV DSH