Các nhà nghiên cứu bảo mật tại hãng McAfee đã phát hiện ra một tập hợp 16 ứng dụng chứa mã độc quảng cáo trên Google Play. Bằng một cách nào đó, những ứng dụng này đã vượt qua hàng rào kiểm duyệt của Google để có mặt trên cửa hàng ứng dụng chính thức dành cho Android và tích lũy được hàng triệu lượt tải về.
16 ứng dụng này thuộc danh mục ứng dụng clicker, một danh mục đặc biệt của mã độc quảng cáo. Chúng thường tải quảng cáo trong các khung vô hình hoặc trong nền của hệ điều hành sau đó nhấp vào để tạo ra doanh thu cho những kẻ đứng sau.
Chúng có thể gây ra nhiều phiền toái cho người dùng như giảm hiệu suất của thiết bị, khiến máy bị nóng quá mức, gây hao pin và tăng chi phí dữ liệu di động.
Sau khi McAfee gửi báo cáo cho Google, tất cả 16 ứng dụng này đều đã bị Google xóa khỏi Play Store. Tuy nhiên, trước đó tổng lượt cài đặt của chúng là 20 triệu vì thế những ai từng cài đặt các ứng dụng này cần gỡ bỏ chúng khỏi máy của mình.
DxClean là ứng dụng phiền phức nhất, nó được cài đặt 5 triệu lần trước khi bị gỡ bỏ. Ngoài ra, đánh giá tổng thể của ứng dụng này tương đối tích cực khi nhận 4,1 trên 5 sao từ người dùng, có thể là đánh giá giả mạo.
DxClean đóng giả một trình dọn dẹp và tối ưu hóa hệ thống, hứa hẹn sẽ phát hiện nguyên nhân gây hiện tượng chậm chạp của hệ thống và ngăn chặn những phiền toái về quảng cáo nhưng lại thực hiện các hành động ngược lại trong nền.
Các chức năng của ứng dụng clicker
Sau khi khởi chạy, các ứng dụng tải xuống cấu hình của chúng từ một máy chủ từ xa thông qua một request HTTP và đăng ký một listener FCM (Firebase Cloud Messaging) để nhận thông báo đẩy.
Những thông báo này chứa các hướng dẫn cho clicker, chẳng hạn như gọi hàm nào và những thông số nào để sử dụng.
"Khi nhận một tin nhắn FCM và đáp ứng một số điều kiện, chức năng ấn bắt đầu hoạt động". McAfee giải thích. "Chủ yếu là truy cập các trang được gửi bằng tin nhắn FCM và duyệt chúng liên tiếp trong nền, bắt chước hành vi của người dùng".
Chức năng tự động nhấp được xử lý bởi thành phần "click.cas" trong khi các tác nhân quản lý các dịch vụ phần mềm quảng cáo ẩn là "com.liveposting".
Các nhà phân tích của McAfee nói rằng SDK liveposting cũng có thể tự hoạt động, có thể chỉ tạo lần hiển thị quảng cáo nhưng các phiên bản gần đây của ứng dụng có cả hai thư viện.
Nạn nhân không bao giờ tương tác với các trang web đã mở và khó có thể nhận ra các quy trình ngầm âm thầm kiếm tiền cho kẻ vận hành.
Để không bị nghi ngờ, các hoạt động độc hại không bắt đầu trong giờ đầu tiên sau khi cài đặt. Thậm chí, một số ứng dụng còn trì hoãn hoạt động nếu người dùng đang sử dụng thiết bị của họ.
Dưới đây là danh sách 16 ứng dụng chứa mã độc quảng cáo mà bạn nên gỡ ngay nếu đã vô tình cài đặt:
- High-Speed Camera (hơn 10.000.000 lượt tải)
- Smart Task Manager (hơn 5.000.000 lượt tải)
- Flashlight+ (hơn 1.000.000 lượt tải)
- 달력메모장 (hơn 1.000.000 lượt tải)
- K-Dictionary (hơn 1.000.000 lượt tải)
- BusanBus (hơn 1.000.000 lượt tải)
- Flashlight+ (hơn 500.000 lượt tải)
- Quick Note (hơn 500.000 lượt tải)
- Currency Converter (hơn 500.000 lượt tải)
- Joycode (hơn 100.000 lượt tải)
- EzDica (hơn 100.000 lượt tải)
- Instagram Profile Downloader (hơn 100.000 lượt tải)
- Ez Notes (hơn 100.000 lượt tải)
- 손전등 (hơn 1.000 lượt tải)
- 계산기 (hơn 100 lượt tải)
- Flashlight+ (hơn 100 lượt tải)
Hãy giám sát mức độ sụt pin và mức tiêu thụ dữ liệu để phát hiện xem máy của mình có nhiễm mã độc quảng cáo hay không. Nếu không thường xuyên sử dụng mà máy sụt pin nhanh và tiêu tốn nhiều dữ liệu thì bạn cần kiểm tra xem mình có cài đặt ứng dụng nào đáng ngờ hay không.