Lạm dụng công nghệ WebAPK

Thông thường, khi lây nhiễm phần mềm độc hại trên Android, tin tặc sẽ tìm cách để dụ dỗ người dùng cài đặt tệp APK (Android Package Kit) bất kỳ. Tuy nhiên, kỹ thuật mới này thậm chí còn vô cùng đơn giản vì người dùng Android không cần phải tải ứng dụng độc hại.

Theo báo cáo của các nhà nghiên cứu từ Nhóm Ứng cứu sự cố bảo mật máy tính của Cơ quan giám sát tài chính CSIRT KNF (Ba Lan) cho biết, một chiến dịch tấn công mới được bắt đầu với việc nạn nhân nhận được tin nhắn SMS yêu cầu cập nhật ứng dụng ngân hàng di động của mình. Liên kết trong tin nhắn này thay vì chuyển hướng đến cửa hàng ứng dụng Google Play thì nó dẫn đến một trang web sử dụng công nghệ WebAPK để cài đặt ứng dụng độc hại trên thiết bị của nạn nhân.

Ứng dụng mạo danh PKO Bank Polski, một công ty dịch vụ tài chính và ngân hàng đa quốc gia có trụ sở tại Warsaw. Chi tiết về chiến dịch lần đầu tiên được chia sẻ bởi công ty an ninh mạng RIFFSEC của Ba Lan.

WebAPK cho phép người dùng cài đặt các ứng dụng web lũy tiến PWA (một loại ứng dụng web có thể hoạt động như một trang web và ứng dụng dành cho thiết bị di động) vào màn hình chính của họ trên Android mà không cần phải thông qua Google Play.

Khi người dùng thêm PWA vào màn hình chính trên Android, Chrome sẽ tự động tạo APK cho người dùng được gọi là WebAPK. Việc được cài đặt qua APK giúp ứng dụng của người dùng có thể hiển thị trong trình khởi chạy ứng dụng.

"Quá trình đó cần có thời gian nhưng khi APK đã sẵn sàng, trình duyệt sẽ cài đặt ứng dụng đó một cách âm thầm trên thiết bị của người dùng. Vì các nhà cung cấp đáng tin cậy (Play Services hoặc Samsung) đã ký số APK nên điện thoại sẽ cài đặt APK đó mà không tắt tính năng bảo mật", Google cho biết.

Sau khi được cài đặt, ứng dụng ngân hàng giả mạo khuyến khích người dùng nhập thông tin đăng nhập và mã thông báo xác thực hai yếu tố (2FA), cho phép tin tặc có thể xâm phạm tài khoản ngân hàng của nạn nhân.

Không giống như các ứng dụng độc hại khác, những ứng dụng được phân phối theo cách này đặc biệt khó theo dõi đối với các nhà nghiên cứu bảo mật, vì các ứng dụng WebAPK có tên gói và checksum khác nhau trên mỗi thiết bị mà chúng được cài đặt.

Sự phát triển diễn ra khi hãng bảo mật Resecurity tiết lộ rằng tội phạm mạng đang ngày càng tận dụng các công cụ giả mạo chuyên dụng dành cho Android được bán trên darkweb, nhằm mạo danh chủ tài khoản bị xâm phạm và vượt qua các biện pháp kiểm soát bảo mật.

Cách giữ an toàn trước các ứng dụng Android độc hại

Để tránh trở thành nạn nhân từ các ứng dụng độc hại, người dùng cần đặc biệt cẩn trọng khi cài đặt ứng dụng mới hoặc cập nhật ứng dụng hiện có.

Các chuyên gia khuyến cáo người dùng không nên tải bất kỳ ứng dụng lạ nào mà thay vào đó chỉ nên cài đặt ứng dụng từ các cửa hàng ứng dụng chính thức như Google Play, Amazon hay Samsung Galaxy. Tải ứng dụng từ các nguồn bên ngoài có thể thuận tiện nhưng người dùng sẽ không biết liệu tệp APK có độc hại hay không, vì chúng không được trải qua quá trình kiểm tra bảo mật như trên các cửa hàng ứng dụng Android chính thức.

Để bảo vệ khỏi các ứng dụng độc hại được phân phối bằng WebAPK, người dùng nên tránh nhấp vào bất kỳ liên kết nào từ các thông báo đáng ngờ hoặc cửa sổ bật lên yêu cầu người dùng cần cập nhật một ứng dụng cụ thể. Các bản cập nhật giả mạo thường được tin tặc sử dụng để phát tán phần mềm độc hại.

Người dùng nên đảm bảo rằng tính năng Google Play Protect được bật vì ứng dụng chống virus miễn phí này đi kèm với hầu hết các điện thoại Android, nó sẽ quét cả ứng dụng mới cũng như ứng dụng hiện có của người dùng để tìm phần mềm độc hại. Tuy nhiên, để tăng cường khả năng bảo mật thì người dùng cũng nên cân nhắc sử dụng một trong những ứng dụng chống virus Android tốt nhất bên cạnh Google Play Protect.