API quảng cáo Igexin đưa phần mềm gián điệp đánh cắp thông tin người dùng
Hỡi các nhà phát triển di động, nếu thấy có API quảng cáo quá dễ dùng thì hãy nhớ đảm bảo rằng nó không phải snoopware nhé.
Đó là bài học quan trọng mà tổ chức bảo mật Lookout đã tìm ra khi tiến hành phân tích bộ phát triển phần mềm (SDK) quảng cáo Igexin và cho ra hàng trăm ứng dụng không thể tìm thấy (“not found”) trên Google Play.
SDK này đã theo dõi rất nhiều điện thoại di động, lưu thời gian cuộc gọi, số điện thoại, tình trạng cuộc gọi và gửi trở lại trang igexin.com. Nó có mặt trên hơn 500 ứng dụng mà Lookout kiểm tra, sau khi các nhà nghiên cứu của công ty nhận ra ứng dụng giao tiếp với địa chỉ IP có liên quan tới malware và bắt đầu thắc mắc.
“Chúng tôi thấy ứng dụng tải các tập tin lớn đã được mã hóa sau khi thực hiện nhiều yêu cầu tới REST API tại http://sdk[.]open[.]phone[.]igexin.com/api.php một endpoint được SDK quảng cáo của Igexin sử dụng”, công ty giải thích. “Việc tải các tập tin mã hóa và sự có mặt của những lần gọi trên com.igexin có không gian tên tới dalvik.system.DexClassLoade của Andoird (được dùng để phân chia lớp (class) khỏi các tập tin .jar và.apk) là đủ để cho thấy rằng cần có phân tích sâu hơn về khả năng có malware”.
SDK đưa phần mềm gián điệp vào máy và đánh cắp thông tin người dùng
Từ đó, các nhà nghiên cứu tìm ra một số phiên bản SDK có framework cho phép client tải đoạn mã ngẫu nhiên, nhận hướng dẫn từ endpoint http://sdk[.]open[.]phone[.]igexin[.]com/api.php.
Sau đó ứng dụng sẽ tải tập tin JAR thực thi trên “Phone Home” của SDK. Cả người dùng và nhà phát triển ứng dụng đều không thể kiểm soát việc xảy ra: “Người dùng và nhà phát triển ứng dụng không thể kiểm soát thứ gì được thực thi trên thiết bị sau khi thực hiện yêu cầu API từ xa”.
Lượng thông tin mà ứng dụng lấy được vẫn giới hạn ở quyền cho phép trên Android nhưng Lookout nói rằng bên cạnh lịch sử cuộc gọi, vẫn có ứng dụng lấy thông tin lịch sử người dùng.

- Nhận diện phần mềm gián điệp trong Windows
- Phần mềm đánh cắp mật khẩu tăng 400%
- Các biện pháp tránh bị phần mềm gián điệp “úp sọt”
- WhatsApp sẽ không bán thông tin người dùng
- Apple không bán đứng thông tin người dùng!
- 1,4 triệu người dùng của TripAdvisor bị đánh cắp thông tin
- Cách chặn Windows 10 theo dõi, thu thập thông tin người dùng
-
‘Cơn ác mộng’ Ryuk ransomware được bổ sung thủ thuật mã hóa mới cực nguy hiểm
-
Những kỹ thuật tấn công giả mạo phổ biến nhất đang được hacker sử dụng
-
Hacker sử dụng tiện ích mở rộng trình duyệt để chiếm đoạt tài khoản Gmail của mục tiêu
-
Ngày càng nhiều nhóm hacker thực hiện các cuộc tấn công ‘theo đơn đặt hàng’ hoặc rao bán kỹ thuật hack của mình, vậy khách hàng là ai?
-
Một nhà sản xuất máy bay phản lực nổi tiếng bị tống tiền bằng mã độc Clop
-
Masslogger - mã độc sở hữu khả năng đánh cắp tất cả thông tin đăng nhập Chrome, Edge Outlook của mục tiêu