Hơn 800 ứng dụng Android trên Google Play chứa mã độc Xavier
08:38 | 19/06/2017 | HACKER / MALWARE
Hơn 800 ứng dụng Android có hàng triệu lượt tải về từ Google Play vừa bị phát hiện chứa mã độc quảng cáo Xavier. Mã độc này âm thầm thu thập dữ liệu nhạy cảm của người dùng và có thể thực hiện các hành vi nguy hiểm.
Được gọi là Xavier, mã độc quảng cáo xuất hiện vào tháng 9/2016, thuộc dòng mã độc AdDown, có khả năng gây ra nguy cơ nghiêm trọng đối với hàng triệu người dùng Android.
Do 90% các ứng dụng Android được tải về miễn phí, nên quảng cáo trên ứng dụng là nguồn doanh thu chủ yếu cho các nhà phát triển ứng dụng. Vì vậy, họ tích hợp thư viện quảng cáo Android SDK trong ứng dụng mà không ảnh hưởng đến chức năng cốt lõi của ứng dụng.
Theo các nhà nghiên cứu bảo mật tại Trend Micro, thư viện quảng cáo Android SDK được cài đặt sẵn trên các ứng dụng Android, bao gồm ứng dụng chỉnh sửa ảnh, hình nền, nhạc chuông, theo dõi điện thoại, tối ưu hóa RAM và ứng dụng nghe nhạc...
Các tính năng của Xavier
Phiên bản trước của Xavier là một phần mềm quảng cáo đơn giản, với khả năng cài đặt lén các bộ cài đặt ứng dụng trên hệ điều hành Android (APK - Android application package) khác trên các thiết bị đích. Tuy nhiên, trong phiên bản mới đây nhất, tác giả phần mềm độc hại đã thay thế các tính năng này bằng những tính năng tinh vi hơn:
- Tránh bị phát hiện: Xavier tránh cơ chế phân tích số liệu và phân tích mã độc động bằng cách kiểm tra xem nó có đang được chạy trong môi trường có kiểm soát (Emulator) hay không và sử dụng các dữ liệu và kết nối có mã hoá.
- Thực thi mã từ xa: mã độc được thiết kế để tải các đoạn mã từ máy chủ C&C (Command & Control), cho phép thực thi từ xa bất kỳ mã độc nào trên thiết bị nạn nhân.
- Lấy cắp thông tin: Xavier có thể lấy cắp thông tin liên quan tới thiết bị và người dùng, bao gồm: địa chỉ email, ID, model thiết bị, phiên bản hệ điều hành, quốc gia, nhà sản xuất, hãng sim, độ phân giải và các ứng dụng được cài đặt.
Theo các chuyên gia, số người dùng bị nhiễm mã độc cao nhất là các nước Đông Nam Á như: Việt Nam, Philippines và Indonesia. Khu vực châu Mỹ và châu Âu có số lượt tải ứng dụng nhiễm mã độc thấp hơn.
- Tránh bị phát hiện: Xavier tránh cơ chế phân tích số liệu và phân tích mã độc động bằng cách kiểm tra xem nó có đang được chạy trong môi trường có kiểm soát (Emulator) hay không và sử dụng các dữ liệu và kết nối có mã hoá.
- Thực thi mã từ xa: mã độc được thiết kế để tải các đoạn mã từ máy chủ C&C (Command & Control), cho phép thực thi từ xa bất kỳ mã độc nào trên thiết bị nạn nhân.
- Lấy cắp thông tin: Xavier có thể lấy cắp thông tin liên quan tới thiết bị và người dùng, bao gồm: địa chỉ email, ID, model thiết bị, phiên bản hệ điều hành, quốc gia, nhà sản xuất, hãng sim, độ phân giải và các ứng dụng được cài đặt.
Theo các chuyên gia, số người dùng bị nhiễm mã độc cao nhất là các nước Đông Nam Á như: Việt Nam, Philippines và Indonesia. Khu vực châu Mỹ và châu Âu có số lượt tải ứng dụng nhiễm mã độc thấp hơn.
Google đã gỡ 75 ứng dụng Android nhiễm mã độc khỏi Google Play. Nếu người dùng đã cài đặt ứng dụng nào trong số này nên gỡ bỏ ngay lập tức.
Làm thế nào để tự bảo vệ mình
Để tránh bị lây nhiễm mã độc Xavier, người dùng cần cẩn thận khi tải các ứng dụng kể cả từ nguồn chính thống, nên chọn các ứng dụng từ các nhà phát triển tin cậy, tham khảo các tài liệu đánh giá của người dùng khác về ứng dụng đó.
Người dùng nên xác minh quyền ứng dụng trước khi cài đặt và chỉ cấp các quyền có liên quan đến mục đích của ứng dụng.
Đồng thời, người dùng nên cài phần mềm diệt virus thường trực cho thiết bị, thường xuyên cập nhật bản mới cho thiết bị và cho phần mềm bảo vệ.
