Phát hiện hơn 200 ứng dụng chứa mã độc được download hàng triệu lần trên Google Play Store

Trong vài năm qua, Google đã không tiếc công đầu tư phát triển thuật toán bảo mật tiên tiến cho Play Store, nhưng việc ngăn chặn từ sớm các mối đe dọa một cách triệt để thực sự không hề đơn giản.

Dữ liệu được thu thập từ tháng 6 năm 2023 đến tháng 4 năm 2024 bởi các nhà nghiên cứu an ninh mạng đến từ tổ chức bảo mật Zscaler đã phát hiện ra hơn 200 ứng dụng độc hại, với hàng triệu lượt download được phân phối công khai trên Google Play Store. Những mối đe dọa phổ biến nhất mà các nhà nghiên cứu phát hiện trên cửa hàng ứng dụng Android chính thức bao gồm:

• Joker (38,2%): Phần mềm đánh cắp thông tin và thu thập tin nhắn SMS, đăng ký nạn nhân vào các dịch vụ cao cấp.
• Adware (35,9%): Các ứng dụng tiêu tốn băng thông internet và pin để tải quảng cáo nền trước hoặc quảng cáo ẩn trong nền, tạo ra các lượt hiển thị quảng cáo gian lận.
• Facestealer (14,7%): Phần mềm đánh cắp thông tin tài khoản Facebook, phủ các biểu mẫu lừa đảo lên trên các ứng dụng mạng xã hội hợp pháp.
• Coper (3,7%): Phần mềm đánh cắp thông tin và chặn tin nhắn SMS, cũng có thể thực hiện ghi phím và phủ các trang lừa đảo.
• Loanly Installer (2,3%).
• Harly (1,4%): Các ứng dụng Trojan đăng ký nạn nhân vào các dịch vụ cao cấp.
• Anatsa (0,9%): Anatsa (hay Teabot) là một trojan ngân hàng nhắm mục tiêu vào hơn 650 ứng dụng của các ngân hàng trên toàn thế giới.

Trước đó vào tháng 5 năm nay, các nhà nghiên cứu Zscaler cũng đã cảnh báo về hơn 90 ứng dụng độc hại trên Google Play, với tổng số lượt tải xuống là 5,5 triệu.

Mặc dù Google có cơ chế bảo mật để phát hiện ứng dụng độc hại, nhưng các tác nhân đe dọa vẫn có một số thủ thuật để vượt qua quy trình xác minh. Trong một báo cáo năm ngoái, nhóm bảo mật Google Cloud đã mô tả một phương pháp phân phối phần mềm độc hại thông qua các bản cập nhật ứng dụng, hoặc bằng cách tải phần mềm độc hại từ các máy chủ do kẻ tấn công kiểm soát.

Trong khi báo cáo của Zscaler tập trung vào những phần mềm độc hại Android phổ biến, các nhà nghiên cứu khác đã phát hiện ra một số chiến dịch cũng lạm dụng Google Play để phân phối phần mềm độc hại cho hàng triệu người.

Điển hình như trường hợp trình tải phần mềm độc hại Necro dành cho Android đã được download 11 triệu lần chỉ thông qua hai ứng dụng phát hành trên Google Play Store.

Trong một trường hợp khác, phần mềm độc hại Goldoson Android đã được phát hiện trong 60 ứng dụng hợp pháp có tổng cộng 100 triệu lượt tải xuống cũng trên Play Store.

Năm ngoái, mã độc SpyLoan đã được tìm thấy trong các ứng dụng trên Google Play được tải xuống hơn 12 triệu lần.

Gần một nửa số ứng dụng độc hại mà Zscaler ThreatLabz phát hiện được phát hành trên Google Play trong các danh mục công cụ, cá nhân hóa, nhiếp ảnh, năng suất và lối sống.

Báo cáo về các mối đe dọa trên thiết bị di động của Zscaler cũng cho thấy sự gia tăng đáng kể các vụ nhiễm phần mềm gián điệp, chủ yếu do các nhóm SpyLoan, SpinOK và SpyNote gây ra. Trong năm qua, công ty đã ghi nhận 232.000 khối hoạt động của phần mềm gián điệp.

Các quốc gia bị phần mềm độc hại trên thiết bị di động nhắm mục tiêu nhiều nhất trong năm qua là Ấn Độ và Hoa Kỳ, tiếp theo là Canada, Nam Phi và Hà Lan.

Theo báo cáo, phần mềm độc hại trên thiết bị di động chủ yếu nhắm vào lĩnh vực giáo dục, với số lượng giao dịch bị chặn tăng 136,8%. Lĩnh vực dịch vụ ghi nhận mức tăng 40,9%, và hóa chất và khai khoáng tăng 24%. Tất cả các lĩnh vực khác đều cho thấy sự suy giảm chung.

Để giảm thiểu khả năng bị nhiễm phần mềm độc hại từ Google Play, người dùng nên đọc kỹ các đánh giá từ những người khác để xem những vấn đề nào đã được báo cáo, sau đó kiểm tra kỹ lưỡng thông tin về nhà xuất bản ứng dụng.