HÀNG TRĂM ỨNG DỤNG ANDROID CHỨA FILE THỰC THI ĐỘC HẠI CỦA WINDOWS

07/08/2018

Mới đây các nhà nghiên cứu bảo mật đã phát hiện ra hơn 100 ứng dụng Android bị nhiễm file thực thi độc hại. Những ứng dụng này đã bị gỡ khỏi Google Play.

Thứ 2 vừa qua, các nhà nghiên cứu tại Unit 42 thuộc Palo Alto Networks cho biết thông tin này và nghi ngờ những người phát triển ứng dụng lại chính là “đồng lõa” trong vụ việc này: Họ vô tình viết ứng dụng trên hệ thống Windows bị nhiễm độc.

Bài viết của các nhà nghiên cứu có viết: “Các file apk không gây hại cho thiết bị Android vì những file thực thi độc hại này chỉ chạy trên hệ thống Windows nên khi tải về trên Android thì file thực thi không có tác dụng. Việc các file apk bị nhiễm độc chứng tỏ nhà phát triển ứng dụng đã sử dụng hệ thống Windows chứa phần mềm độc hại.”

Những ứng dụng bị ảnh hưởng bao gồm ứng dụng dạy người dùng vẽ và thiết kế quần áo (Learn to Draw Clothing), ứng dụng ảnh về ý tưởng độ xe đạp địa hình (Modification Trail) và ứng dụng gợi ý các bài tập thể dục và ý tưởng chăm sóc sức khỏe (Gymnastics Training Tutorial).

ma-đoc-android-2-768x459.png

“Một điều thú vị nữa là cùng một tác giả nhưng có ứng dụng bị nhiễm độc nhưng có ứng dụng lại không. Chúng tôi cho rằng người phát triển ứng dụng đã sử dụng nhiều môi trường và hệ thống khác nhau.”

Palo Alto chỉ ra rằng hầu hết ứng dụng bị nhiễm độc được tung ra thị trường từ tháng 10/2017 đến tháng 11/2017. Điều này có nghĩa rằng các ứng dụng đã tồn tại hơn nửa năm. Một vài ứng dụng có hơn 1000 lượt tải và đánh giá 4 sao. Google không bình luận gì về vụ việc này.

Trình theo dõi thao tác bàn phím bị nhúng vào các ứng dụng trên có thể ghi lại thao tác bàn phím trên hệ thống Windows bao gồm những thông tin nhạy cảm như số thẻ tín dụng, số thẻ căn cước công dân và các loại mật khẩu. Những file thực thi độc hại đó có tên giả như Android.exe, my music.exe và gallery.exe khiến người dùng không nghi ngờ.

Một khi được tải về, file thực thi độc hại tự khởi chạy có thể tiến hành các thao tác trên hệ thống Windows như tạo file thực thi và file ẩn trên trong các tệp của Windows, đổi chế độ của thiết bị thành tự khởi chạy sau khi khởi động lại và thực hiện kết nối mạng đáng nghi tới địa chỉ IP 87.98.185.184 thông qua cổng 8829.

Mặc dù các file thực thi độc hại này không thể chạy trực tiếp trên máy chủ Android, chúng vẫn là mối nguy hiểm cho chuỗi cung ứng phần mềm và các nhà phát triển phần mềm trên hệ Windows. Các nhà phát triển ứng dụng đã trở thành mục tiêu của nhiều cuộc tấn công diện rộng, trong đó có cuộc tấn công KeRanger, XcodeGhost và chiến dịch NotPetya.

P.NV
-ST-