Hơn 100 ứng dụng Android chứa file thực thi độc hại của Windows

0

Cụ thể, 145 ứng dụng đã bị nhiễm file thực thi độc hại (executable file). Có khả năng các file thực thi này đã thêm trình theo dõi thao tác bàn phím (key-logger) vào hệ thống Windows.

Thứ Hai vừa qua, các nhà nghiên cứu tại Unit 42 thuộc Palo Alto Networks đã thông báo tin này và nghi ngờ chính những người viết ứng dụng đã “đồng lõa” trong vụ việc này. Họ đã vô tình phát triển ứng dụng trên hệ thống Windows bị nhiễm độc.

Các nhà nghiên cứu có viết: “Các file apk không gây hại cho thiết bị Android vì những file thực thi độc hại này chỉ chạy trên hệ thống Windows nên khi tải về trên Android thì file thực thi không có tác dụng. Việc các file apk bị nhiễm độc chứng tỏ nhà phát triển ứng dụng đã sử dụng hệ thống Windows chứa phần mềm độc hại.”

Các ứng dụng bị ảnh hưởng bởi mã độc bao gồm ứng dụng dạy người dùng vẽ và thiết kế quần áo (Learn to Draw Clothing), ứng dụng ảnh về ý tưởng độ xe đạp địa hình (Modification Trail) và ứng dụng gợi ý các bài tập thể dục và ý tưởng chăm sóc sức khỏe (Gymnastics Training Tutorial).

file-thuc-thi-doc-hai-cua-mot-so-ung-dung
Những ứng dụng bị nhiễm file thực thi độc hại cùng một nhà phát triển ứng dụng

Palo Alto Networks chỉ ra rằng hầu hết các ứng dụng bị nhiễm độc đã có mặt trên thị trường từ tháng 10/2017 đến tháng 11/2017. Điều này có nghĩa rằng các ứng dụng đã tồn tại từ hơn nửa năm nay và đã tiếp cận được một số lượng người dùng. Một vài ứng dụng có hơn 1000 lượt tải về nhận được đánh giá 4 sao. Tuy nhiên, phía Google không có bình luận gì về vụ việc này.

Trình theo dõi thao tác bàn phím Key-logger bị chèn vào có thể ghi lại các thao tác bàn phím khi người dùng nhập vào các thông tin nhạy cảm như số thẻ tín dụng, số thẻ căn cước công dân và các loại mật khẩu. Các file thực thi độc hại này đánh lừa người dùng bằng cách đặt tên giả như Android.exe, Mymusic.exe và Gallery.exe, khiến người dùng chủ quan, không nghi ngờ.

Khi được tải về, các file thực thi độc hại này sẽ tự khởi chạy và tiến hành các thao tác trên hệ thống Windows, thiết lập chế độ tự khởi chạy cho thiết bị sau khi khởi động lại và thực hiện ngắt kết nối mạng đáng nghi tới địa chỉ IP 87.98.185.184 thông qua cổng 8829.

Mặc dù các file thực thi độc hại này không thể chạy trực tiếp trên máy chủ Android, chúng vẫn là mối nguy hiểm cho chuỗi cung ứng phần mềm và các nhà phát triển phần mềm trên hệ thống Windows. Các nhà phát triển ứng dụng trở thành mục tiêu của các cuộc tấn công trên diện rộng, trong đó có các cuộc tấn công như KeRanger, XcodeGhost và chiến dịch NotPetya.

Craig Young, nhà nghiên cứu bảo mật máy tính tại Tripsire cho biết, các cuộc tấn công hầu hết đều nhắm vào hệ thống Windows, có nghĩa rằng những kẻ tấn công mới chỉ thử nghiệm phương án này và chưa xây dựng cơ sở đầy đủ cho những đợt tấn công của chúng.

“Điều này vẫn còn bị xem nhẹ trong bảo mật chuỗi cung ứng phần mềm. Tác giả các phần mềm độc hại từ lâu đã biết cách trà trộn chúng với những phần mềm người dùng muốn sử dụng. Trong những năm gần đây, chúng ta đã thấy nhiều phần mềm độc hại ngụy trang thành phần mềm an toàn, nhưng những phần mềm độc hại đó chỉ được tung ra trên kho ứng dụng của bên thứ ba, còn khi tung ra trên các kho ứng dụng phổ biến thì không có nhiều người tải. Những kẻ viết phần mềm độc hại cho Android và iOS nay đã sử dụng bộ phát triển nhiễm độc, thư viện quảng cáo và những công cụ khác liên quan đến khâu phát triển ứng dụng. Tương tự với chiến dịch phần mềm độc hại XCodeGhost trên iOS, cuộc tấn công dùng file thực thi độc hại này nhắm vào các nhà phát triển ứng dụng không ý thức được mình đang sử dụng hệ thống bị nhiễm độc.”

Nguồn: SecurityDaily.net

Bài viết liên quan Bài viết cùng tác giả