Lên đến 36.5 hàng triệu thiết bị Android có thể đã bị nhiễm phần mềm độc hại được tìm thấy trong hơn 41 ứng dụng trên Google Play Store các nhà nghiên cứu bảo mật cho biết tạo ra các nhấp chuột giả cho quảng cáo.
Phần mềm độc hại, có tên “Judy”, được phát hiện bởi một công ty nghiên cứu bảo mật Checkpoint trong hơn 41 ứng dụng có sẵn trên Play Store, được phát triển một cách đáng ngờ bởi một công ty Hàn Quốc Kinwini và được xuất bản dưới biệt danh ENISTUDIO Corp.
Checkpoint cho biết trong một bài đăng trên blog: “Phần mềm độc hại sử dụng các thiết bị bị nhiễm để tạo ra một lượng lớn nhấp chuột gian lận vào quảng cáo, tạo ra doanh thu cho những kẻ đứng sau nó.
Theo Checkpoint, có thể các nhà phát triển đã mượn mã độc hại từ người khác, cố ý hoặc vô tình, khiến số lượng điện thoại bị nhiễm phần mềm độc hại tăng đột biến.
Check Point cho biết: “Không rõ mã độc đã tồn tại trong các ứng dụng trong bao lâu, do đó mức độ lây lan thực sự của phần mềm độc hại vẫn chưa được biết đến, nhưng những con số tải xuống đó có nghĩa là“ tổng mức lây lan của phần mềm độc hại có thể đã đạt đến 8.5 và 36.5 triệu người dùng. “
Công ty nghiên cứu lưu ý rằng mã độc đã được ẩn trong một ứng dụng từ tháng 4 năm 2016 mà Google không hề phát hiện ra.
Google đã “nhanh chóng” xóa các ứng dụng bị nhiễm bệnh khỏi Cửa hàng Play sau khi được thông báo về sự tồn tại của chúng, nhưng không phải trước đó, chúng đã “đạt mức lan truyền đáng kinh ngạc giữa 4.5 triệu và 18.5 triệu lượt tải xuống. ”
Checkpoint cho biết thêm: “Một số ứng dụng phần mềm độc hại mà chúng tôi phát hiện đã xuất hiện trên Google Play trong vài năm, nhưng tất cả đều được cập nhật gần đây.
Judy là gì và nó hoạt động như thế nào?
Phần mềm độc hại “Judy” là một phần mềm quảng cáo tự động nhấp vào giúp các công ty tăng doanh thu của họ. Hacker đã thiết kế phần mềm độc hại theo cách để nó vượt qua Google Play Storecủa bảo vệ. Đó là “ứng dụng đầu cầu có vẻ lành tính, có nghĩa là thiết lập kết nối với thiết bị của nạn nhân và chèn nó vào cửa hàng ứng dụng.”
Checkpoint giải thích: “Sau khi người dùng tải xuống một ứng dụng độc hại, nó sẽ âm thầm đăng ký các máy thu thiết lập kết nối với máy chủ điều khiển và chỉ huy. Máy chủ trả lời với tải trọng độc hại thực tế, bao gồm mã JavaScript, chuỗi tác nhân người dùng và các URL do tác giả phần mềm độc hại kiểm soát. Phần mềm độc hại mở các URL bằng tác nhân người dùng bắt chước trình duyệt PC trong một trang web ẩn và nhận được chuyển hướng đến một trang web khác. Khi trang web được nhắm mục tiêu được khởi chạy, phần mềm độc hại sử dụng mã JavaScript để định vị và nhấp vào các biểu ngữ từ cơ sở hạ tầng quảng cáo của Google.
“Khi nhấp vào quảng cáo, tác giả phần mềm độc hại nhận được khoản thanh toán từ nhà phát triển trang web, khoản thanh toán này sẽ trả cho các nhấp chuột và lưu lượng truy cập bất hợp pháp.”
. .
…
