Phát hiện hơn 1.000 ứng dụng gián điệp trên Android App Stores

Một người nào đó đã cố gắng đưa lên cửa hàng ứng dụng của bên thứ ba và Google Play Store hàng ngàn ứng dụng nhiễm độc, có thể giám sát hầu như mọi hoạt động của người dùng trên di động bằng cách ghi âm các cuộc gọi âm thầm, tạo cuộc gọi ngoài mà không cần người dùng phải làm gì.

Có tên gọi SonicSpy, spyware (ứng dụng gián điệp) đã lan tràn khắp các cửa hàng ứng dụng Android từ ít nhất là tháng Hai bằng cách giả làm ứng dụng tin nhắn - dù quả thực nó cũng có cung cấp dịch vụ nhắn tin.

SonicSpy có thể thực hiện nhiều thủ đoạn nhiễm độc

Cùng lúc, các ứng dụng gián điệp SonicSpy có thể thực hiện nhiều công việc, bao gồm âm thầm ghi âm cuộc gọi và âm thanh từ microphone, hijack camera của thiết bị và ảnh snap, thực hiện cuộc gọi ngoài (outbound) mà không cần sự cho phép của người dùng, gửi tin nhắn tới số mà kẻ tấn công lựa chọn.

Bên cạnh đó, SonicSpy cũng đánh cắp thông tin của người dùng như lịch sử cuộc gọi, danh bạ, thông tin về điểm truy cập Wi-Fi mà thiết bị kết nối tới, từ đó có thể dễ dàng lần theo địa điểm của người dùng.

Spyware này được phát hiện bởi các nhà nghiên cứu an ninh tại công ty bảo mật di động Lookout. Họ cũng tìm ra 3 phiên bản của các ứng dụng nhắn tin bị ảnh hưởng bởi SonicSpy trên cửa hàng chính thức Google Play Store và đã được tải hàng nghìn lần.

Ứng dụng có mặt trên Play Store chính thức nhưng vẫn nhiễm độc

Dù các ứng dụng bị nghi ngờ - Soniac, Hulk Messenger và Troy Chat - đã bị loại bỏ khỏi Store nhưng chúng vẫn có mặt rộng rãi trên các cửa hàng của bên thứ ba cùng các ứng dụng bị nhiễm SonicSpy khác.

Kết nối của Iraq tới spyware SonicSpy

Các nhà nghiên cứu tin rằng malware này có liên quan tới các nhà phát triển ở Iraq và rằng tổng cộng, gia đình malware SonicSpy hỗ trợ tới 73 Instructions từ xa để kẻ tấn công có thể thực thi trên điện thoại Android bị nhiễm.

Kết nối của Iraq tới spyware bắt nguồn từ sự giống nhau giữa SonicSpy và SpyNote, một malware Android khác được phát hiện vào tháng 7/2016, giả mạo là ứng dụng Netflix và được cho là viết bởi hacker người Iraq.

“Có nhiều dấu hiệu cho thấy bàn tay đứng sau cả 2 là cùng một đạo diễn. Ví dụ như cả hai có code giống nhau, thường sử dụng dịch DNS động, chạy cổng 2222 không chuẩn”, Michael Flossman đến từ Lookout cho hay.

Quan trọng là tên của tài khoản nhà phát triển đứng sau Soniac trên Google Play Store cũng là iraqiwebservice.

Spyware SonicSpy hoạt động như thế nào?

Một trong những ứng dụng nhắn tin nhiễm SonicSpy trên Google Play Store là Soniac. Khi được cài đặt, nó sẽ xóa icon launcher khỏi danh sách trên điện thoại để ẩn mình và kết nối tới máy chủ C&C để cố cài phiên bản đã bị chỉnh sửa của ứng dụng Telegram.

Tuy vậy, ứng dụng thực sự chứa nhiều độc hại khi cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị, biến nó thành công cụ gián điệp, âm thầm ghi âm cuộc gọi, thực hiện cuộc gọi, hình ảnh, lấy dữ liệu cá nhân.

Trước khi bị Google xóa, nó đã được tải trong khoảng từ 1.000 tới 1.500 lần, nhưng vì nó là một trong 1.000 biến thể nên malware có thể ảnh hưởng nhiều hơn thế. SonicSpy có thể trở lại Play Store

Dù các ứng dụng nhiễm SonicSpy đã bị xóa khỏi Play Store nhưng các nhà nghiên cứu cảnh báo rằng nó có thể quay trở lại với một tài khoản nhà phát triển và giao diện ứng dụng khác.

“Người đứng sau gia đình malware này cho thấy họ có thể đưa spyware vào cửa hàng ứng dụng chính thức và được phát triển tích cực, quá trình xây dựng được tự động, có thể SonicSpy có thể trở lại trong tương lai”.

Dù Google đã đưa ra nhiều biện pháp an ninh để ngăn ngừa ứng dụng nhiễm độc nhưng chúng vẫn tìm được cách chen vào Play Store.

Cách bảo vệ bạn khỏi malware

Cách dễ nhất là để mắt tới các ứng dụng đáng nghi, ngay cả khi tải từ Google Play Store và chỉ tin tưởng những cái tên lớn. Ngoài ra, hãy luôn đọc đánh giá của người dùng đã tải ứng dụng và xác minh ứng dụng trước khi cài đặt, chỉ trao quyền có liên quan tới mục đích của ứng dụng.

Không tải ứng dụng từ các nguồn bên thứ ba vì dù được phân phối qua Play Store chính thức thì hầu hết các nạn nhân đều bị nhiễm malware qua các ứng dụng không đáng tin. Cuối cùng, đừng quên sử dụng các phần mềm diệt virus để phát hiện và chặn malware và thường xuyên cập nhật thiết bị, ứng dụng.