Hơn 800 ứng dụng Android trên Google Play chứa mã độc Xavier

08:38 | 19/06/2017 | HACKER / MALWARE

Hơn 800 ứng dụng Android có hàng triệu lượt tải về từ Google Play vừa bị phát hiện chứa mã độc quảng cáo Xavier. Mã độc này âm thầm thu thập dữ liệu nhạy cảm của người dùng và có thể thực hiện các hành vi nguy hiểm.

Hơn 800 ứng dụng Android trên Google Play chứa mã độc Xavier

Được gọi là Xavier, mã độc quảng cáo xuất hiện vào tháng 9/2016, thuộc dòng mã độc AdDown, có khả năng gây ra nguy cơ nghiêm trọng đối với hàng triệu người dùng Android.

Do 90% các ứng dụng Android được tải về miễn phí, nên quảng cáo trên ứng dụng là nguồn doanh thu chủ yếu cho các nhà phát triển ứng dụng. Vì vậy, họ tích hợp thư viện quảng cáo Android SDK trong ứng dụng mà không ảnh hưởng đến chức năng cốt lõi của ứng dụng.

Theo các nhà nghiên cứu bảo mật tại Trend Micro, thư viện quảng cáo Android SDK được cài đặt sẵn trên các ứng dụng Android, bao gồm ứng dụng chỉnh sửa ảnh, hình nền, nhạc chuông, theo dõi điện thoại, tối ưu hóa RAM và ứng dụng nghe nhạc...

Các tính năng của Xavier

Phiên bản trước của Xavier là một phần mềm quảng cáo đơn giản, với khả năng cài đặt lén các bộ cài đặt ứng dụng trên hệ điều hành Android (APK - Android application package) khác trên các thiết bị đích. Tuy nhiên, trong phiên bản mới đây nhất, tác giả phần mềm độc hại đã thay thế các tính năng này bằng những tính năng tinh vi hơn:

- Tránh bị phát hiện: Xavier tránh cơ chế phân tích số liệu và phân tích mã độc động bằng cách kiểm tra xem nó có đang được chạy trong môi trường có kiểm soát (Emulator) hay không và sử dụng các dữ liệu và kết nối có mã hoá.

- Thực thi mã từ xa: mã độc được thiết kế để tải các đoạn mã từ máy chủ C&C (Command & Control), cho phép thực thi từ xa bất kỳ mã độc nào trên thiết bị nạn nhân.

- Lấy cắp thông tin: Xavier có thể lấy cắp thông tin liên quan tới thiết bị và người dùng, bao gồm: địa chỉ email, ID, model thiết bị, phiên bản hệ điều hành, quốc gia, nhà sản xuất, hãng sim, độ phân giải và các ứng dụng được cài đặt.

Theo các chuyên gia, số người dùng bị nhiễm mã độc cao nhất là các nước Đông Nam Á như: Việt Nam, Philippines và Indonesia. Khu vực châu Mỹ và châu Âu có số lượt tải ứng dụng nhiễm mã độc thấp hơn.

Google đã gỡ 75 ứng dụng Android nhiễm mã độc khỏi Google Play. Nếu người dùng đã cài đặt ứng dụng nào trong số này nên gỡ bỏ ngay lập tức.

Làm thế nào để tự bảo vệ mình

Để tránh bị lây nhiễm mã độc Xavier, người dùng cần cẩn thận khi tải các ứng dụng kể cả từ nguồn chính thống, nên chọn các ứng dụng từ các nhà phát triển tin cậy, tham khảo các tài liệu đánh giá của người dùng khác về ứng dụng đó.

Người dùng nên xác minh quyền ứng dụng trước khi cài đặt và chỉ cấp các quyền có liên quan đến mục đích của ứng dụng.

Đồng thời, người dùng nên cài phần mềm diệt virus thường trực cho thiết bị, thường xuyên cập nhật bản mới cho thiết bị và cho phần mềm bảo vệ.

‹ › ×

Tin liên quan

Nhiều ứng dụng Android chứa tệp tin thực thi độc hại trên Windows

16:00 | 10/08/2018

Mới đây, các nhà nghiên cứu của công ty an toàn mạng Palo Alto Networks (Mỹ) đã phát hiện ra 145 ứng dụng Android bị nhiễm tệp tin thực thi độc hại trên Windows.

Hơn 10 triệu người dùng tải về ứng dụng giả mạo cho smartphone Samsung

08:00 | 12/07/2019

Trong nhiều tháng trở lại đây đã xuất hiện nhiều báo cáo về các ứng dụng giả mạo trên Play Store, hoạt động với mục đích lừa người dùng và kiếm tiền thông qua các trang web quảng cáo. Một trong số các ứng dụng vừa mới bị phát giác mới đây có tên là Updates for Samsung - Android Update Versions với hơn 10 triệu lượt người dùng tải về.

9 ứng dụng độc hại trên smartphone cần được gỡ bỏ

13:00 | 12/02/2020

Mới đây, các nhà nghiên cứu bảo mật của Trend Micro đã phát hiện một số ứng dụng trên Google Play tự động tải phần mềm độc hại về thiết bị người dùng.

Tin cùng chuyên mục

Dịch vụ lừa đảo nhắm vào người dùng iPhone thông qua iMessage

10:00 | 29/03/2024

Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.

Khám phá Trojan ngân hàng Coyote

07:00 | 11/03/2024

Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.

Phân tích phần mềm độc hại mới đánh cắp ví tiền điện tử trong các ứng dụng bẻ khóa trên macOS

14:00 | 22/02/2024

Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.

Lỗ hổng nghiêm trọng trong Jenkins dẫn đến thực thi mã từ xa

09:00 | 01/02/2024

Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.