Hơn 200 ứng dụng độc hại từ Google Play với hàng triệu lượt người dùng tải xuống
Dữ liệu được thu thập từ tháng 6/2023 đến tháng 4/2024 bởi các nhà nghiên cứu tình báo mối đe dọa tại Zscaler, những người đã xác định và phân tích các nhóm phần mềm độc hại trên cả Google Play và các nền tảng phân phối khác.
Các mối đe dọa phổ biến nhất mà các nhà nghiên cứu phát hiện trên Google Play bao gồm:
- Joker (38,2%): Phần mềm đánh cắp thông tin và tin nhắn SMS, bí mật đăng ký nạn nhân vào các dịch vụ trả phí mà không có sự đồng ý từ người dùng.
- Phần mềm quảng cáo (35,9%): Các ứng dụng này đã gây hao dung lượng pin để chạy quảng cáo trong nền, tạo ra các lượt hiển thị quảng cáo giả mạo.
- Facestealer (14,7%): Phần mềm đánh cắp thông tin tài khoản Facebook bằng cách phủ các biểu mẫu lừa đảo lên trên các ứng dụng mạng xã hội hợp pháp.
- Coper (3,7%): Phần mềm đánh cắp thông tin và chặn tin nhắn SMS cũng có thể thực hiện thao tác ghi bàn phím và phân phối các trang web lừa đảo.
- Harly (1,4%): Ứng dụng Trojan đăng ký nạn nhân vào các dịch vụ trả phí.
- Anatsa (0,9%): Anatsa (hay Teabot) là một Trojan ngân hàng nhắm vào hơn 650 ứng dụng của các ngân hàng trên toàn thế giới.
Vào tháng 5/2024, các nhà nghiên cứu Zscaler đã lên tiếng cảnh báo về hơn 90 ứng dụng độc hại trên Google Play, với số lượt tải xuống là 5,5 triệu.
Mặc dù, Google có các cơ chế bảo mật để phát hiện các ứng dụng độc hại, nhưng các tác nhân đe dọa vẫn có một số kỹ thuật để vượt qua các quy trình xác minh. Trong một báo cáo năm ngoái, nhóm bảo mật Google Cloud đã mô tả “versioning”, một phương pháp phân phối phần mềm độc hại thông qua các bản cập nhật ứng dụng hoặc tải mã độc từ các máy chủ do kẻ tấn công kiểm soát.
Báo cáo của Zscaler tập trung vào phần mềm độc hại Android phổ biến hơn, trong khi một số nhà nghiên cứu khác cũng đã phát hiện các chiến dịch sử dụng Google Play để phân phối phần mềm độc hại cho hàng triệu người.
Trong một trường hợp được ghi nhận, trình tải phần mềm độc hại Necro trên Android đã được tải xuống 11 triệu lượt chỉ thông qua hai ứng dụng được phát hành trên Google Play. Một diễn biến khác, phần mềm độc hại Goldoson Android đã được phát hiện cài đặt trong 60 ứng dụng hợp pháp, với tổng cộng 100 triệu lượt tải xuống.
Năm 2023, phần mềm độc hại SpyLoan đã được phát hiện trong các ứng dụng trên Google Play, có lượt tải xuống hơn 12 triệu lần. Gần một nửa số ứng dụng độc hại mà Zscaler phát hiện được phân phối trên Google Play thuộc danh mục công cụ, cá nhân hóa, nhiếp ảnh, năng suất và lối sống.
Hình 1. Phân loại danh mục ứng dụng độc hại trên Google Play
Về số lượng phần mềm độc hại được chặn trong năm 2024, Zscaler báo cáo rằng xu hướng cho thấy sự suy giảm chung, được xác định bằng các giao dịch bị chặn.
Báo cáo về mối đe dọa trên thiết bị di động của Zscaler cho biết về sự gia tăng đáng kể các trường hợp lây nhiễm phần mềm gián điệp, chủ yếu do các phiên bản SpyLoan, SpinOK và SpyNote gây ra. Trong năm qua, công ty đã ghi nhận 232.000 các hoạt động của phần mềm gián điệp.
Các quốc gia bị phần mềm độc hại di động nhắm tới nhiều nhất trong năm qua là Ấn Độ và Mỹ, tiếp theo là Canada, Nam Phi và Hà Lan.
Hình 2. Các quốc gia bị nhắm mục tiêu nhiều nhất
Theo báo cáo, phần mềm độc hại trên thiết bị di động chủ yếu nhắm vào lĩnh vực giáo dục, nơi số lượng giao dịch bị chặn tăng 136,8%. Lĩnh vực dịch vụ ghi nhận mức tăng 40,9%, hóa chất và khai khoáng tăng 24%. Tất cả các lĩnh vực khác đều cho thấy sự suy giảm chung.
Hình 3. Các lĩnh vực bị phần mềm độc hại di động nhắm mục tiêu trong năm 2023
Để giảm thiểu nguy cơ bị nhiễm phần mềm độc hại từ Google Play, người dùng nên đọc bình luận, đánh giá từ người khác để xem những vấn đề nào đã được báo cáo và kiểm tra nhà phát hành ứng dụng.
Bên cạnh đó, người dùng cũng nên kiểm tra các quyền được yêu cầu khi cài đặt và hủy tiến trình nếu ứng dụng yêu cầu các quyền không phù hợp với hoạt động của ứng dụng.
“Các phiên bản độc hại của những ứng dụng được xác định này hiện không còn trên Google Play. Người dùng Android sẽ được tự động bảo vệ khỏi các phiên bản phần mềm độc hại đã biết được đề cập trong báo cáo này thông qua Google Play Protect, tính năng được bật theo mặc định trên các thiết bị Android có Google Play”, Google phản hồi dựa trên báo cáo của Zscaler.
Được biết, Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được cho là có hành vi độc hại, ngay cả khi các ứng dụng đó đến từ các nguồn bên ngoài cửa hàng chính thức của Google.
Báo cáo của Zscaler cũng nêu bật mối đe dọa đối với các tổ chức và doanh nghiệp, từ các hệ điều hành cũ và hết vòng đời thường chạy trên thiết bị OT. Thông thường, các hệ thống này không thể được cập nhật vì phần cứng cơ bản không tương thích với các phiên bản mới hơn.
Deepen Desai, Giám đốc an ninh tại Zscaler cho biết: “Tội phạm mạng ngày càng nhắm mục tiêu hơn vào các phần mềm với phiên bản lỗi thời, không được cập nhật, thường liên quan đến các hệ thống IoT và OT, dẫn đến vi phạm dữ liệu và tấn công bằng mã độc tống tiền. Phần mềm độc hại di động và các cuộc tấn công vishing nằm trong danh sách này khiến các các tổ chức và doanh nghiệp cần nghiên cứu ưu tiên giải pháp Zero Trust hỗ trợ để ngăn chặn mọi loại hình tấn công, bảo vệ chống lại các mối đe dọa này”.
Nguyễn Ngọc Nguyên
(Tổng hợp)