Hơn 800 ứng dụng Android trên Google Play chứa mã độc Xavier

08:38 | 19/06/2017 | HACKER / MALWARE

Hơn 800 ứng dụng Android có hàng triệu lượt tải về từ Google Play vừa bị phát hiện chứa mã độc quảng cáo Xavier. Mã độc này âm thầm thu thập dữ liệu nhạy cảm của người dùng và có thể thực hiện các hành vi nguy hiểm.

Hơn 800 ứng dụng Android trên Google Play chứa mã độc Xavier

Được gọi là Xavier, mã độc quảng cáo xuất hiện vào tháng 9/2016, thuộc dòng mã độc AdDown, có khả năng gây ra nguy cơ nghiêm trọng đối với hàng triệu người dùng Android.

Do 90% các ứng dụng Android được tải về miễn phí, nên quảng cáo trên ứng dụng là nguồn doanh thu chủ yếu cho các nhà phát triển ứng dụng. Vì vậy, họ tích hợp thư viện quảng cáo Android SDK trong ứng dụng mà không ảnh hưởng đến chức năng cốt lõi của ứng dụng.

Theo các nhà nghiên cứu bảo mật tại Trend Micro, thư viện quảng cáo Android SDK được cài đặt sẵn trên các ứng dụng Android, bao gồm ứng dụng chỉnh sửa ảnh, hình nền, nhạc chuông, theo dõi điện thoại, tối ưu hóa RAM và ứng dụng nghe nhạc...

Các tính năng của Xavier

Phiên bản trước của Xavier là một phần mềm quảng cáo đơn giản, với khả năng cài đặt lén các bộ cài đặt ứng dụng trên hệ điều hành Android (APK - Android application package) khác trên các thiết bị đích. Tuy nhiên, trong phiên bản mới đây nhất, tác giả phần mềm độc hại đã thay thế các tính năng này bằng những tính năng tinh vi hơn:

- Tránh bị phát hiện: Xavier tránh cơ chế phân tích số liệu và phân tích mã độc động bằng cách kiểm tra xem nó có đang được chạy trong môi trường có kiểm soát (Emulator) hay không và sử dụng các dữ liệu và kết nối có mã hoá.

- Thực thi mã từ xa: mã độc được thiết kế để tải các đoạn mã từ máy chủ C&C (Command & Control), cho phép thực thi từ xa bất kỳ mã độc nào trên thiết bị nạn nhân.

- Lấy cắp thông tin: Xavier có thể lấy cắp thông tin liên quan tới thiết bị và người dùng, bao gồm: địa chỉ email, ID, model thiết bị, phiên bản hệ điều hành, quốc gia, nhà sản xuất, hãng sim, độ phân giải và các ứng dụng được cài đặt.

Theo các chuyên gia, số người dùng bị nhiễm mã độc cao nhất là các nước Đông Nam Á như: Việt Nam, Philippines và Indonesia. Khu vực châu Mỹ và châu Âu có số lượt tải ứng dụng nhiễm mã độc thấp hơn.

Google đã gỡ 75 ứng dụng Android nhiễm mã độc khỏi Google Play. Nếu người dùng đã cài đặt ứng dụng nào trong số này nên gỡ bỏ ngay lập tức.

Làm thế nào để tự bảo vệ mình

Để tránh bị lây nhiễm mã độc Xavier, người dùng cần cẩn thận khi tải các ứng dụng kể cả từ nguồn chính thống, nên chọn các ứng dụng từ các nhà phát triển tin cậy, tham khảo các tài liệu đánh giá của người dùng khác về ứng dụng đó.

Người dùng nên xác minh quyền ứng dụng trước khi cài đặt và chỉ cấp các quyền có liên quan đến mục đích của ứng dụng.

Đồng thời, người dùng nên cài phần mềm diệt virus thường trực cho thiết bị, thường xuyên cập nhật bản mới cho thiết bị và cho phần mềm bảo vệ.

‹ › ×

Tin liên quan

Nhiều ứng dụng Android chứa tệp tin thực thi độc hại trên Windows

16:00 | 10/08/2018

Mới đây, các nhà nghiên cứu của công ty an toàn mạng Palo Alto Networks (Mỹ) đã phát hiện ra 145 ứng dụng Android bị nhiễm tệp tin thực thi độc hại trên Windows.

Hơn 10 triệu người dùng tải về ứng dụng giả mạo cho smartphone Samsung

08:00 | 12/07/2019

Trong nhiều tháng trở lại đây đã xuất hiện nhiều báo cáo về các ứng dụng giả mạo trên Play Store, hoạt động với mục đích lừa người dùng và kiếm tiền thông qua các trang web quảng cáo. Một trong số các ứng dụng vừa mới bị phát giác mới đây có tên là Updates for Samsung - Android Update Versions với hơn 10 triệu lượt người dùng tải về.

9 ứng dụng độc hại trên smartphone cần được gỡ bỏ

13:00 | 12/02/2020

Mới đây, các nhà nghiên cứu bảo mật của Trend Micro đã phát hiện một số ứng dụng trên Google Play tự động tải phần mềm độc hại về thiết bị người dùng.

Tin cùng chuyên mục

Chính phủ Pháp bị tấn công mạng

16:00 | 15/03/2024

Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.

AnyDesk bị tấn công mạng

11:00 | 07/02/2024

Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.

Biến thể mới của kỹ thuật tấn công DLL vượt qua các biện pháp bảo vệ của Windows 10, 11

08:00 | 19/01/2024

Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.

Lỗ hổng Bluetooth mới có thể cho phép tin tặc chiếm quyền điều khiển trên các thiết bị Android, Apple và Linux

14:00 | 19/12/2023

Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.