Phần mềm độc hại Sockbot được phát hiện trong các ứng dụng trên Google Play Store

Vào tháng này, Symantec đã phát hiện ra một loại phần mềm độc hại mới trên Android với tên gọi là Sockbot, đây là một ứng dụng hợp pháp trên Google Play cho phép kẻ tấn công tạo lưu lượng truy cập quảng cáo giả mạo.

Các nhà nghiên cứu Symantec tuyên bố rằng có ít nhất 8 ứng dụng chứa Sockbot được xác định và có từ 600.000 đến 2,6 triệu lượt tải và cài đặt. Mục đích của các ứng dụng này là thay đổi giao diện của các nhân vật trong game Minecraft Pocket Edition. Bên cạnh đó, nó còn tạo ra doanh thu quảng cáo bất hợp pháp.

• Hệ thống bảo vệ mới Play Protect của Google thất bại ngay từ thử nghiệm đầu tiên

Phần mềm độc hại Sockbot triển khai cơ chế SOCKS proxy trên các thiết bị lây nhiễm

Cái tên Sockbot xuất phát từ chế độ hoạt động của phần mềm độc hại này. Chúng được cài đặt và triển khai cơ chế SOCKS proxy trên các thiết bị lây nhiễm đồng thời chờ lệnh từ máy chủ C&C từ xa.

Symantec cũng lưu ý rằng phần mềm độc hại Sockbot này có thể dễ dàng được mở rộng, tận dụng một số lỗ hổng mạng và có khả năng vượt qua ranh giới an ninh. Nói cách khác, những kẻ tấn công có thể sử dụng Sockbot để thực hiện các cuộc tấn công DDoS kế tiếp.

Đây không phải là botnet Android đầu tiên được phát hiện trong năm nay. Vào cuối tháng 8 vừa qua, liên minh các hãng bảo mật đã cùng nhau gỡ bỏ botnet WireX gồm hơn 120.000 thiết bị Android lây nhiễm và thực hiện cuộc tấn công DDoS.

Rất may là Symantec đã thông báo cho Google về 8 ứng dụng nhiễm phần mềm độc hại này vào ngày 6/10 và công ty đã nhanh chóng xóa chúng khỏi cửa hàng Google Play. Tuy nhiên, điều này cũng nhắc nhở chúng ta rằng hãy luôn thận trọng khi tải xuống bất kì ứng dụng nào trên cửa hàng Google Play Store.