API quảng cáo Igexin đưa phần mềm gián điệp đánh cắp thông tin người dùng

Hỡi các nhà phát triển di động, nếu thấy có API quảng cáo quá dễ dùng thì hãy nhớ đảm bảo rằng nó không phải snoopware nhé.

Đó là bài học quan trọng mà tổ chức bảo mật Lookout đã tìm ra khi tiến hành phân tích bộ phát triển phần mềm (SDK) quảng cáo Igexin và cho ra hàng trăm ứng dụng không thể tìm thấy (“not found”) trên Google Play.

SDK này đã theo dõi rất nhiều điện thoại di động, lưu thời gian cuộc gọi, số điện thoại, tình trạng cuộc gọi và gửi trở lại trang igexin.com. Nó có mặt trên hơn 500 ứng dụng mà Lookout kiểm tra, sau khi các nhà nghiên cứu của công ty nhận ra ứng dụng giao tiếp với địa chỉ IP có liên quan tới malware và bắt đầu thắc mắc.

“Chúng tôi thấy ứng dụng tải các tập tin lớn đã được mã hóa sau khi thực hiện nhiều yêu cầu tới REST API tại http://sdk[.]open[.]phone[.]igexin.com/api.php một endpoint được SDK quảng cáo của Igexin sử dụng”, công ty giải thích. “Việc tải các tập tin mã hóa và sự có mặt của những lần gọi trên com.igexin có không gian tên tới dalvik.system.DexClassLoade của Andoird (được dùng để phân chia lớp (class) khỏi các tập tin .jar và.apk) là đủ để cho thấy rằng cần có phân tích sâu hơn về khả năng có malware”.

SDK đưa phần mềm gián điệp vào máy và đánh cắp thông tin người dùng

Từ đó, các nhà nghiên cứu tìm ra một số phiên bản SDK có framework cho phép client tải đoạn mã ngẫu nhiên, nhận hướng dẫn từ endpoint http://sdk[.]open[.]phone[.]igexin[.]com/api.php.

Sau đó ứng dụng sẽ tải tập tin JAR thực thi trên “Phone Home” của SDK. Cả người dùng và nhà phát triển ứng dụng đều không thể kiểm soát việc xảy ra: “Người dùng và nhà phát triển ứng dụng không thể kiểm soát thứ gì được thực thi trên thiết bị sau khi thực hiện yêu cầu API từ xa”.

Lượng thông tin mà ứng dụng lấy được vẫn giới hạn ở quyền cho phép trên Android nhưng Lookout nói rằng bên cạnh lịch sử cuộc gọi, vẫn có ứng dụng lấy thông tin lịch sử người dùng.