Công ty bảo mật Trend Micro đã phát hiện ra một số ứng dụng tối ưu hóa và tiện ích được liệt kê trong Google Play Store có thể tải nhiều như 3, 000 biến thể phần mềm độc hại khác nhau trên điện thoại bị nhiễm. Các ứng dụng này đã được cài đặt tổng cộng 470.000 lần. Google đã xóa các ứng dụng độc hại khỏi Play Store mặc dù chúng vẫn có thể được cài đặt trên điện thoại Android. Chúng tôi thường đề nghị người dùng Android kiểm tra phần bình luận trong phần Google Play Store trước khi cài đặt một ứng dụng từ một nhà phát triển không xác định. Bằng cách này, bạn có thể tìm thấy cờ đỏ từ người dùng Android cảnh báo bạn tránh xa. Tuy nhiên, các tác nhân xấu đã phát triển phần mềm độc hại này có thể sử dụng nó để chiếm quyền điều khiển thiết bị bị nhiễm và đăng các đánh giá tích cực cho các ứng dụng độc hại. Ảnh chụp màn hình từ một trong các ứng dụng cho thấy một số bình luận tích cực từ những người dùng khác nhau, nhưng tất cả chúng đều có cùng một nhận xét! Nếu bạn thấy một cái gì đó như thế này trong phần bình luận Cửa hàng Play, đừng cài đặt ứng dụng đó. Các ứng dụng này cũng có thể chạy quảng cáo và yêu cầu thiết bị bị nhiễm nhấp vào chúng để giúp bọn tội phạm đằng sau doanh nghiệp được trả tiền. Và phần mềm độc hại có khả năng đăng nhập vào Google của nạn nhân và Facebook tài khoản.
Không có biểu tượng trên trình khởi chạy ứng dụng, phần mềm độc hại này khó có thể gỡ cài đặt hoặc thậm chí khám phá
Các 3, 000 biến thể của phần mềm độc hại hoặc tải trọng độc hại ngụy trang thành các ứng dụng hệ thống để không có biểu tượng nào trong trình khởi chạy hoặc danh sách ứng dụng. Do đó, người dùng thậm chí có thể không biết rằng điện thoại của mình bị nhiễm. Và nếu anh ta hoặc cô ta tìm ra nó, việc gỡ cài đặt ứng dụng sẽ khá khó khăn. Các ứng dụng lừa người dùng kích hoạt một số quyền Android nhất định và vô hiệu hóa Google Play Protect được cho là quét phần mềm độc hại trên Google Play Store ứng dụng trước khi chúng được cài đặt.
Các quốc gia bị ảnh hưởng nhiều nhất bởi chiến dịch này là Nhật Bản, Israel, Đài Loan, Hoa Kỳ, Ấn Độ và Thái Lan. Các ứng dụng bị ảnh hưởng bao gồm:
| Bắn sạch rác, tăng cường điện thoại, làm mát CPU | com.boost.cpu.shootcleaner | Hơn 10.000 |
| Super Clean Lite- Bộ làm mát, làm sạch & CPU | com.boost.superclean.cpucool.lite | Hơn 50.000 |
| Siêu sạch điện thoại tăng cường, dọn rác & làm mát CPU | com.booster.supercleaner | Hơn 100.000 |
| Trung tâm trò chơi nhanh-H5 | com.h5games.center.quickgames | Hơn 100.000 |
| Tên lửa dọn dẹp | com.party.rocketcleaner | Hơn 100.000 |
| Rocket Cleaner Lite | com.party.rocketcleaner.lite | Hơn 10.000 |
| Speed Clean-Phone Booster, Junk Cleaner & App Manager | com.party.speedclean | Hơn 100.000 |
| Gamebox H5 | com.games.h5gamebox | 1, 000 + |
| LinkWorldVPN | com.linkworld.fast.free.vpn | 1, 000 + |
Một báo cáo khác, báo cáo này từ Cofense (thông qua ArsTechnica) tiết lộ rằng một trò lừa đảo đang khiến người dùng Android không biết tải xuống các ứng dụng có chứa phần mềm độc hại có tên là Anibus. Các tác nhân xấu gửi các tệp đính kèm xuất hiện trên bề mặt để làm hóa đơn. Thay vào đó, chúng thực sự là các APK được sử dụng để cài đặt các ứng dụng Android có chứa phần mềm độc hại. Người dùng tải xuống hóa đơn giả và cho phép điện thoại của họ tải ứng dụng sẽ thấy thông báo Google Protect giả yêu cầu hai đặc quyền; cái sau vô hiệu hóa Google Play Protect và đồng ý với 19 quyền. Phần mềm độc hại sau đó quét một thiết bị bị nhiễm tìm kiếm xem nó có cài đặt bất kỳ ứng dụng tài chính và ngân hàng nào không. Nếu một trong những ứng dụng này được tải trên điện thoại, khi người dùng mở nó, trang đăng nhập giả sẽ được hiển thị cho phép kẻ tấn công đánh cắp mật khẩu cho các ứng dụng này.
Một số ứng dụng độc hại đã phân phối phần mềm độc hại cho điện thoại Android bị nhiễm
Những việc khác mà Anubis có thể làm bao gồm chụp ảnh màn hình, thay đổi cài đặt, mở và truy cập bất kỳ URL nào, ghi âm, thực hiện cuộc gọi, đánh cắp danh sách liên lạc, gửi văn bản, nhận văn bản, xóa văn bản, khóa thiết bị, nhận vị trí của người dùng qua GPS, tìm kiếm tệp, mã hóa tệp trên thiết bị và ổ đĩa ngoài, lấy các lệnh điều khiển từ xa Twitter và Telegraph, đẩy lớp phủ trên màn hình và đánh cắp ID của một thiết bị cụ thể.
Phần mềm độc hại cho phép kẻ tấn công viết đánh giá tích cực, nhưng chúng không quá thông minh
Và một khi kẻ tấn công đã hoàn thành với chiếc điện thoại bị nhiễm, anh ta có thể từ xa "phá hủy nó". Một nhà nghiên cứu của công ty bảo mật Cofense đã viết: "Ví dụ, một khi kẻ tấn công đã thu hoạch và khai thác tất cả các thông tin, danh bạ, email, tin nhắn, ảnh nhạy cảm, v.v., họ có thể chọn mã hóa điện thoại để đòi tiền chuộc hoặc đơn giản là phá hủy điện thoại hết ác ý. "
Những ví dụ này cho thấy rõ rằng người dùng điện thoại thông minh cần hạn chế các ứng dụng họ cài đặt cho những ứng dụng được sản xuất bởi các nhà phát triển mà họ biết. Và nếu người dùng nhận được email hoặc tin nhắn văn bản yêu cầu anh ta tải xuống hóa đơn dưới dạng tệp đính kèm, anh ta nên gọi cho công ty trước để đảm bảo đó là sự thật.
