Các nhà nghiên cứu đã phát hiện thấy 42 ứng dụng adware trên Google Play Store với hơn 8 triệu lượt tải xuống được phát triển bởi một sinh viên Việt Nam. Ban đầu các ứng dụng này được phân phối dưới dạng các ứng dụng hợp pháp nhưng sau đó đã được cập nhật để hiển thị quảng toàn màn hình (full-screen) độc hại trên thiết bị của người dùng.
Nếu có bất kỳ ứng dụng nào liệt kê dưới đây hiện đang được cài đặt trên thiết bị Android của bạn thì tốt hơn hết là hãy gỡ bỏ chúng ngay lập tức.
Adware là phần mềm không mong muốn được thiết kế để xuất hiện quảng cáo trên màn hình thiết bị của người dùng.
Nhà phát triển 42 adware là một sinh viên Việt Nam
Nhà nghiên cứu bảo mật của ESET Lukas Stefanko cho biết các ứng dụng adware trên Android này được phát triển bởi một sinh viên đại học người Việt Nam. Không khó để truy xuất danh tính của cậu sinh viên này vì có vẻ như anh ta chưa từng bận tâm đến việc che giấu danh tính của mình.
Các chi tiết đăng ký có sẵn công khai của một tên miền được liên kết với các ứng dụng adware đã giúp tìm ra danh tính của nhà phát triển, bao gồm tên thật, địa chỉ và số điện thoại. Nhờ những thông tin này, cuối cùng nhà nghiên cứu cũng đã tìm ra được tài khoản cá nhân trên Facebook, GitHub và YouTube của người tạo ra các adware.
Trong một bài đăng trên blog được công bố mới đây, Stefanko cho biết “Nhà phát triển của các ứng dụng này không thực hiện bất kỳ biện pháp nào để bảo vệ danh tính của mình. Dường như lúc bạn đầu cậu ta không có ý định thực hiện các hành vi thiếu trung thực”.
Có vẻ như sau một thời gian triển khai các ứng dụng trên Google Play, anh ta đã quyết định tăng doanh thu quảng cáo của mình bằng cách triển khai chức năng adware trong mã ứng dụng của mình.
Tất cả 42 ứng dụng adware đều cung cấp các chức năng cụ thể như Radio FM, trình tải xuống video hoặc trò chơi nên hầu hết người dùng rất khó phát hiện ra các ứng dụng độc hại hoặc tìm thấy bất kỳ điều gì khả nghi.
Thủ thuật adware “tàng hình” và khả năng phục hồi
Được gọi là họ adware “Ashas”, các thành phần độc hại trong nó sẽ kết nối với máy chủ chỉ huy và kiểm soát từ xa do nhà phát triển vận hành và tự động gửi thông tin cơ bản về thiết bị Android với một trong những ứng dụng adware được cài đặt.
Sau đó, ứng dụng sẽ nhận dữ liệu cấu hình từ máy chủ C&C, nơi chịu trách nhiệm hiển thị quảng cáo theo lựa chọn của kẻ tấn công và áp dụng một số thủ thuật để “tàng hình” và phục hồi. Dưới đây sẽ đề cập một số thủ thuật tiêu biểu.
Để ẩn chức năng độc hại khỏi cơ chế bảo mật của Google Play, trước tiên các ứng dụng sẽ kiểm tra địa chỉ IP của thiết bị bị nhiễm và nếu nó nằm trong phạm vi địa chỉ IP đã biết cho máy chủ Google, ứng dụng sẽ không kích hoạt payload adware.
Để ngăn người dùng liên kết ngay lập tức các quảng cáo không mong muốn với ứng dụng của mình, nhà phát triển cũng đã thêm chức năng để đặt độ trễ tùy chỉnh giữa hiển thị quảng cáo và cài đặt ứng dụng.
Ngoài ra, các ứng dụng cũng ẩn các biểu tượng của chúng trên menu Android điện thoại và tạo một lối tắt nhằm ngăn chặn khả năng người dùng gỡ cài đặt.
Stfanko cho biết nếu một người dùng thông thường cố gắng thoát khỏi ứng dụng độc hại, rất có thể chỉ có các phím tắt cuối cùng bị xóa. Ứng dụng sẽ tiếp tục chạy trong nền mà người dùng không hề hay biết.
Lưu ý đặc biệt dành cho người dùng
Bên cạnh đó, nếu người dùng bị ảnh truy cập vào mục “các ứng dụng gần đây” (recent apps) để kiểm tra ứng dụng nào đang phân phối quảng cáo thì các adware này sẽ hiển thị biểu tượng Facebook hoặc Google để lừa người dùng tin rằng quảng cáo đang được hiển thị bởi một dịch vụ hợp pháp.
Mặc dù Stefanko không nói nhiều về loại quảng cáo mà adware này phân phối tới thiết bị của người dùng nhưng thông thường các adware sẽ thường hiển thị các quảng cáo có liên hệ với các trang web lừa đảo và độc hại.
Stefanko đã báo cáo cho nhóm bảo mật của Google về những phát hiện của mình. Phía công ty cũng đã xóa các ứng dụng được đề cập khỏi nền tảng Play Store.
Tuy nhiên, nếu bạn đã tải xuống điện thoại Android của mình bất kỳ ứng dụng giả mạo nào được liệt kê trên đây thì tốt hơn hết là hãy xóa ngay lập tức bằng cách vào phần cài đặt của thiết bị.
Người dùng Apple iOS cũng được khuyến nghị nên kiểm tra iPhone của mình vì nhà phát triển độc hại cũng có các ứng dụng trên App Store của Apple. Dẫu vậy, tính đến thời điểm hiện tại, vẫn chưa có bất kỳ phát hiện nào liên quan tới chức năng adware được bao gồm trong các ứng dụng trên nền tảng iOS.
THN
