Google vừa phát hiện và gỡ bỏ 17 ứng dụng Android bị nhiễm mã độc Joker (còn được gọi là Bread) khỏi Play Store. Đây là một trong những loại mã độc nguy hiểm và tồn tại lâu nhất mà công ty phải đối phó kể từ năm 2017.
Google cũng khuyến cáo người dùng xóa ngay những ứng dụng này khỏi điện thoại để tránh bị đánh cắp thông tin và bị cài những dịch vụ không mong muốn lên thiết bị. Theo ZDNet, 17 ứng dụng độc hại trên được phát hiện bởi các nhà nghiên cứu bảo mật từ Zscaler, toàn bộ đều có liên quan đến mã độc Joker.
“Phần mềm gián điệp (spyware) này được thiết kế nhằm đánh cắp tin nhắn SMS, danh bạ và thông tin thiết bị. Ngoài ra, nó còn tự động đăng kí các dịch vụ truyền thông (WAP) đắt tiền trên thiết bị của nạn nhân”, nhà nghiên cứu Viral Gandhi của Zscaler cho biết.
17 ứng dụng độc hại kể trên chỉ mới được đưa lên Play Store trong tháng này nhưng đã có tới 120.000 lượt tải về trước khi bị phát hiện. Danh sách ứng dụng được liệt kê dưới đây:
- All Good PDF Scanner
- Mint Leaf Message – Your Private Message
- Unique Keyboard – Fancy Fonts & Free Emoticons
- Tangram App Lock
- Direct Messenger
- Private SMS
- One Sentence Translator – Multifunctional Translator
- Style Photo Collage
- Meticulous Scanner
- Desire Translate
- Talent Photo Editor – Blur focus
- Care Message
- Part Message
- Paper Doc Scanner
- Blue Scanner
- Hummingbird PDF Converter – Photo to PDF
- All Good PDF Scanner
Theo quy trình đánh giá nội bộ, Google đã gỡ bỏ toàn bộ ứng dụng trên khỏi Play Store và dùng dịch vụ Play Protect để chặn những dịch vụ này hoạt động trên các thiết bị nhiễm mã độc. Tuy nhiên người dùng vẫn nên nhanh chóng xoá chúng khỏi điện thoại.
Đây là lần thứ ba, Nhóm bảo mật của Google phải đối phó với các loại ứng dụng độc hại có liên quan đến mã độc Joker trong vài tháng gần đây.
Đầu tháng này, hãng đã phải gỡ bỏ 6 ứng dụng tương tự sau báo cáo của các nhà nghiên cứu thuộc công ty bảo mật Pradeo. Trước đó, vào tháng 7, “gã khổng lồ công nghệ” từng tháo một loạt ứng dụng nhiễm mã độc Joker do công ty bảo mật Anquanke phát hiện. Những ứng dụng đó đã hoạt động từ tháng 3 và đã lây nhiễm trên hàng triệu thiết bị Android.
Các ứng dụng bị nhiễm thường vượt qua hàng rào bảo vệ của Google để được xuất hiện trên Play Store thông qua một kỹ thuật gọi là “dropper (nhỏ giọt)”, trong đó thiết bị của nạn nhân bị nhiễm qua nhiều giai đoạn. Về cơ bản, đây là một kỹ thuật đơn giản nhưng lại rất khó bị phát hiện.
Tác giả của những loại phần mềm độc hại này sẽ bắt đầu sao chép tính năng của một ứng dụng hợp lệ, sau đó tải chúng lên Play Store. Những ứng dụng này có đầy đủ tính năng nên sẽ dễ dàng yêu cầu được cấp một số quyền nhất định trên thiết bị. Đặc biệt trong những lần khởi chạy đầu tiên, ứng dụng không hề để lộ bất kỳ hành động độc hại nào.
Các hành vi độc hại sẽ bị hoãn lại nhiều giờ hoặc nhiều ngày sau để không bị quy trình quét bảo mật của Google phát hiện. Nhưng sau đó những ứng dụng này sẽ tải thêm về máy nhiều thành phần hoặc ứng dụng chứa mã độc Joker hoặc những biến thể độc hại khác.
Mã độc Joker (tên theo dõi nội bộ của Google là Bread) là một trong những loại mã độc sử dụng kỹ thuật dropper thường xuyên nhất. Vì vậy nhiều ứng dụng đã tận dụng Joker để có thể xuất hiện trên Play Store, và cách này hiệu quả hơn nhiều so với những loại mã độc khác.
Google từng mô tả Joker là một trong các mối đe dọa nguy hiểm và tồn tại lâu dài nhất mà hãng phải đối phó trong những năm gần đây. Theo thống kê, các chuyên gia bảo mật của công ty đã xóa hơn 1.700 ứng dụng khỏi Play Store kể từ năm 2017.