Ứng dụng diệt virus của Trung Quốc bí mật thu thập dữ liệu người dùng

Google đã gỡ bỏ khỏi Play Store - sau đó phục hồi lại trạng thái ban đầu - một trong những ứng dụng diệt virus được nhiều người dùng trên di động, sau khi công ty bảo mật Check Point phát hiện ra ứng dụng này bí mật thu thập dữ liệu người dùng.

Ứng dụng có tên DU Antivirus Security và là một sản phẩm của DU Group, một công ty thuộc tập đoàn Baidu. Theo trang trên Play Store của ứng dụng, đã có khoảng từ 10 tới 50 triệu người tải và cài đặt ứng dụng này.

Ứng dụng thu thập dữ liệu người dùng và chuyển sang ứng dụng khác

Trong báo cáo công bố, các nhà nghiên cứu tại Check Point nói rằng họ đã phát hiện hành vi đáng nghi trong cách vận hành của ứng dụng này. Khi người dùng chạy DU Antivirus Security lần đầu, nó sẽ thu thập các thông tin như:

  • Danh tính
  • Danh bạ
  • Lịch sử cuộc gọi
  • Thông tin địa điểm, nếu có thể

DU Antivirus sau đó sẽ mã hóa dữ liệu và gửi tới máy chủ từ xa tại địa chỉ 47.88.174.218. Ban đầu, các nhà nghiên cứu cho rằng máy chủ này nằm dưới quyền kiểm soát của tác giả malware nhưng qua điều tra bản ghi DNS và các subdomain liên quan cho thấy, domain host máy chủ được đăng kí dưới tên của một nhân viên của Baidu là Zhan Liang Liu.

Thông tin sau đó sẽ được một ứng dụng khác thuộc về DU Group có tên Caller ID & Call BLock - DU Caller sử dụng, với mục đích cung cấp người dùng thông tin về cuộc gọi đến.

Google gỡ bỏ và khôi phục lại bản sạch của ứng dụng

Check Point cảnh báo Google về việc này vào 21/8, gỡ ứng dụng vào 24/8. Ứng dụng sau đó được đưa lại vào ngày 28/8 sau khi DU Group xóa đoạn code liên quan tới việc thu thập dữ liệu.

Google xóa ứng dụng bởi nó đã không xác định cụ thể cơ chế thu thập dữ liệu trong chính sách quyền riêng tư cũng như không hề hỏi quyền chấp thuận của người dùng.

Check Point cho biết DU Antivirus Security v3.1.5 có chứa đoạn code này và có thể là các bản trước cũng có nhưng công ty không test được các bản trước để xác nhận. Người dùng nên nhanh chóng cập nhật bản mới nhất.

Cơ chế thu thập dữ liệu tìm thấy trên 30 ứng dụng khác

Từ khám phá ban đầu, Check Point tìm kiếm sự xuất hiện của mã độc kiểu này trên các ứng dụng khác và tìm thấy trong 30 ứng dụng, 12 trong số đó có trên Google Play Store chính thức. Dựa trên thống kê của Google khoảng từ 24 tới 89 triệu người dùng có thể đã cài đặt ứng dụng nhiễm độc thu thập dữ liệu mà không hề biết.

“Những ứng dụng này có lẽ thực thi đoạn mã như một thư viện ngoài, truyền dữ liệu đánh cắp được tới máy chủ từ xa của DU Caller”. Đây không phải lần đầu DU Caller có những hành vi như vậy. Đầu năm, ứng dụng này bị phát hiện sử dụng nhiều bản chính sách quyền riêng tư khác nhau để lừa người dùng và thu thập dữ liệu dù họ có đồng ý hay không.

Dưới đây là tên các ứng dụng có chứa code thu thập dữ liệu mà Check Point phát hiện ra đang nằm trên Play Store.

Danh sách ứng dụng trên Play Store thu thập dữ liệu người dùng
Danh sách ứng dụng trên Play Store thu thập dữ liệu người dùng

Dưới đây là danh sách ứng dụng có dùng đoạn code tương tự nhưng nằm bên ngoài Play Store.

com.power.core.setting
com.friendivity.biohazard.mobo
com.energyprotector.tool
com.power.core.message
batterysaver.cleaner.speedbooster.taskkiller.phonecooler
com.rammanager.pro
com.memoryanalysis.speedbooster
com.whosthat.callerid
speedbooster.memorycleaner.phonecleaner.phonecooler
com.example.demos
com.android.fb
antivirus.mobilesecurity.antivirusfree.antivirusandroid
speedtest.networksecurity.internetbooster
com.ramreleaser.speedbooster
com.dianxinos.optimizer.duplay
com.coolkeeper.instacooler
com.memoryreleaser.booster
com.freepopularhotvideo.hotube

Thứ Sáu, 22/09/2017 09:15
41 👨 640
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng