Ứng dụng độc hại có tên là Radio Balouch, được phát hiện chứa mã độc Android/Spy.Agent.AOX. Giao diện ứng dụng được mô phỏng như một ứng dụng nghe radio bằng Internet, chuyên phát nhạc của người Baloch định cư tại Iran, Afghanistan và Pakistan.
Tuy nhiên, nhà nghiên cứu Lukas Stefanko thuộc công ty ESET đã chỉ ra rằng, ứng dụng này được tạo ra để theo dõi những người đã tải ứng dụng. Trong khi người dùng sử dụng ứng dụng, mã độc gián điệp tiến hành các hoạt động đánh cắp thông tin danh bạ và thu thập các tệp được lưu trữ trên thiết bị.
Ngay sau khi được ESET đã báo cáo, Google đã xóa ứng dụng độc hại Radio Balouch trong vòng 24 giờ, nhưng 10 ngày sau ứng dụng này được nhà phát triển ban đầu đăng lại trên cửa hàng ứng dụng Google Play.
Ông Stefanko cho biết, công ty cũng đã phát hiện và báo cáo trường hợp thứ hai của mã độc và sau đó nó cũng được gỡ bỏ nhanh chóng. Tuy nhiên, việc Google cho phép cùng một nhà phát triển đăng lại một mã độc đã bị phát hiện lên cửa hàng ứng dụng nhiều lần là điều đáng lo ngại.
Ứng dụng Radio Balouch xuất hiện lần đầu tiên trên Google Play vào ngày 2/7, lần thứ hai vào ngày 13/7 và đều nhanh chóng bị gỡ bỏ. Mỗi lần đăng trên Google Play, ứng dụng đã được hơn 100 người cài đặt.
Radio Balouch có thể là ứng dụng chứa mã độc gián điệp Android nguồn mở đầu tiên xuất hiện trên Google Play, nhưng không có gì đảm bảo đây là ứng dụng cuối cùng. Vì ứng dụng độc hại vẫn có thể trở lại cửa hàng ứng dụng Google Play một cách dễ dàng sau khi bị xóa, nên Google cần đưa ra các biện pháp bảo mật nghiêm ngặt hơn.
Nếu Google không nâng cao khả năng bảo vệ an toàn cho người dùng, thì một bản sao mới của Radio Balouch hoặc bất kỳ mã độc dựa trên công cụ gián điệp AhMyth có thể sẽ sớm xuất hiện trên Google Play. Radio Balouch đã biến mất khỏi Google Play, nhưng nó vẫn có thể ở trên các cửa hàng ứng dụng khác.
ESET cho biết, ứng dụng Radio Balouch đã được quảng cáo trên một trang web chuyên dụng, Instagram và YouTube. Công ty đã báo cáo sự nguy hiểm của chiến dịch tấn công này cho các nhà cung cấp dịch vụ, nhưng không nhận được bất kỳ phản hồi nào.
Đỗ Đoàn Kết
Theo Infosecurity
08:00 | 03/09/2019
09:00 | 26/08/2019
08:00 | 11/08/2020
16:00 | 17/09/2020
13:00 | 16/12/2020
08:00 | 19/07/2019
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
10:00 | 06/12/2023
Các cơ quan chính phủ ở Trung Đông hiện đang là mục tiêu của các chiến dịch tấn công lừa đảo mới được nhóm tin tặc TA402 triển khai để phân phối phần mềm độc hại có tên là IronWind. Bài viết này sẽ làm rõ các chiến dịch tấn công này dựa trên những phát hiện mới đây của công ty an ninh mạng Proofpoint (Mỹ).
16:00 | 01/12/2023
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024