Trong thời gian gần đây, các nhà nghiên cứu bảo mật chuyên theo dõi hệ sinh thái ứng dụng dành cho thiết bị di động đã nhận thấy sự gia tăng đột biến của các ứng dụng chứa mã độc trên Play Store. Thậm chí, có những ứng dụng chứa mã độc được tải về tới hơn 500.000 lượt.
Hầu hết các ứng dụng này đều chứa mã độc trojan với khả năng tấn công đa dạng để gây thiệt hại về tài chính hoặc đánh cắp thông tin cá nhân nhạy cảm của người dùng.
Ngoài ra, một trojan mới được ngụy trang dưới dạng bản mod của WhatsApp cũng đang được phát tán khắp nơi nhờ các bài đăng trên mạng xã hội, diễn đàn và các chiến dịch SEO bẩn.
Tất cả những thông tin trên được phát hiện bởi Dr. Web, đơn vị đã tung ra một báo cáo chi tiết về hoạt động của virus trên các thiết bị di động hồi tháng 01/2022.
Trojan tràn lan trên Google Play Store
Các ứng dụng chứa trojan mà Dr. Web phát hiện ra trên Play Store hoạt động trên nhiều lịch vực khác nhau bao gồm quản lý tiền điện tử, công cụ hỗ trợ lợi ích xã hội, đầu tư Gasprom, trình chỉnh sửa ảnh và launcher iOS 15.
Hầu hết ứng dụng đầu tư giả mạo đều yêu cầu nhạn nhân tạo tài khoản mới và giử tiền đặt cọc giao dịch. Số tiền đó sẽ được chuyển thẳng tới tài khoản ngân hàng của hacker. Trong khi đó, các ứng dụng khác lừa người dùng bằng cách đăng ký các gói thuê bao đắt tiền.
Phần lớn các ứng dụng được báo cáo bởi Dr. Web đã bị gỡ khỏi Play Store nên không thống kê được chúng phổ biến như thế nào. Tuy nhiên, một trong những ứng dụng bị báo cáo là Top Navigation vẫn còn trên Play Store và nó đã được tải về hơn 500.000 lần.
Lần theo tên nhà phát triển Tsaregorotseva, chúng ta có thể thấy Top Navigation còn một người anh em là Advance Photo Power với hơn 100.000 lượt tải.
Trong phần đánh giá của Advance Photo Power hầu hết là những báo cáo, phàn nàn rằng đây là một ứng dụng lừa đảo. Nhiều người dùng mất 2 USD/tuần để xác minh hoặc xóa quảng cáo nhưng chẳng nhận lại được lợi ích gì.
Hầu hết các ứng dụng do Dr. Web tìm thấy đều lừa nạn nhân cung cấp số điện thoại sau đó tải các trang web dịch vụ liên kết và đăng ký những gói dịch vụ đắt tiền qua công nghệ Wap Click.
Ứng dụng chứa trojan núp bóng bản mod WhatsApp
Theo Dr. Web, mối đe dọa đáng chú ý nhất trong tháng 01/2022 chính là các ứng dụng mod WhatsApp chứa trojan. Chúng có tên là GBWhatsApp, OBWhatsApp hoặc WhatsApp Plus. Các bản mod WhatsApp này cung cấp hỗ trợ ngôn ngữ Ả Rập, các widget trên màn hình chính, thanh bên dưới riêng biệt, ẩn các tùy chọn trạng thái, chặn cuộc gọi và khả năng tự động lưu các file phương tiện đã nhận.
Các bản mod này phổ biến vì chúng cung cấp những tính năng bổ sung mà WhatsApp gốc không có.
Tuy nhiên, trên các bản có cài trojan, mã độc sẽ cố gắng lấy các thông báo từ Google Play Store và Samsung Galaxy Store qua dịch vụ Flurry stat.
Ngoài ra, trojan này còn tải xuống một tệp APK bổ sung từ URL do máy chủ kiểm soát và điều khiển cung cấp. APK này núp bóng một bản cập nhật cho OBWhatsApp.
Tuy nhiên, sau đó APK này cài đặt một ứng dụng mới với nhiệm vụ hiển thị các hộp thoại tùy ý, có nội dung được thiết lập động và cập nhật từ xa. Qua đó, hacker có thể điều hướng người dùng tới các trang web độc hại khác.
Giờ đây, ngay cả khi tải ứng dụng từ Google Play Store người dùng cũng phải hết sức thận trọng. Hãy kiểm tra kỹ nhà phát triển hoặc xem qua phần đánh giá của ứng dụng để xem có gì bất thường hay không trước khi tải về.