04/03/2019
Một loại mã độc Android che giấu dưới dạng các ứng dụng thông thường trên kho ứng dụng Google Play sẽ âm thầm lấy cắp tiền của nạn nhân bằng cách đăng ký vào các dịch vụ có thu phí mà người dùng không hề hay biết. Loại mã độc này hiện đang được phát tán mạnh tại một số quốc gia Đông Nam Á.
Nhóm nghiên cứu McAfê Mobile Research vừa phát hiện ra một chiến dịch “cướp tiền” mới, với sự tham gia của ít nhất 15 ứng dụng được “tái đóng gói” nhằm bí mật đăng ký các dịch vụ premium trả phí trong lúc người dùng không để ý. Danh sách này bao gồm nhiều ứng dụng với tên gọi “đậm chất lừa đảo” như Qrcode Scanner, Cut Ringtones 2018 và Despacito Ringtone.
Chiến dịch này được phát động bởi AsiaHitGroup Gang – vốn xuất hiện lần đầu vào cuối năm 2016, nhắm vào các nạn nhân chủ yếu ở Thái Lan và Malaysia. Nhóm này sử dụng một ứng dụng cài đặt phần mềm giả mạo gọi là Sonvpay.A có chức năng tải về và cài đặt các ứng dụng phổ biến không được phát hành trên Google Play, tất nhiên là với một khoản tiền lót tay nhất định. Nhưng điều đáng nói ở đây là nó đã bí mật đăng ký các dịch vụ trả phí khi chạy nền cho ít nhất 20.000 nạn nhân bằng cách gửi đi các tin nhắn SMS đến các số điện thoại trả phí.
Sau khi một ứng dụng có chứa mã độc được cài trên smartphone của người dùng, có những thời điểm ứng dụng này sẽ yêu cầu người dùng tiến hành “cập nhật” thông qua một nút bấm. Tuy nhiên trên thực tế đây không phải là nút cập nhật ứng dụng như nhiều người vẫn tưởng mà là nút bấm đăng ký vào các dịch vụ có thu phí được “ngụy trang” dưới dạng nút bấm cập nhật ứng dụng.
Thay vì tạo các ứng dụng giả mạo, nhóm này đã tích hợp các ứng dụng Android hợp pháp vào Sonvpay.C, cho phép nó sử dụng thông báo đẩy một cách âm thầm trong nền để bí mật đăng ký nạn nhân vào các dịch vụ premium trả phí. Bản thân các ứng dụng không có vẻ gì là nguy hiểm, trừ việc yêu cầu cấp quyền truy cập tin nhắn SMS. Trên thực tế, chúng hoạt động hoàn toàn bình thường.
“Việc đăng ký chủ yếu được tiến hành thông qua WAP Billing, vốn không đòi hỏi phải gửi tin nhắn SMS đến các số premium” – Carlos Castillo của McAfee cho biết – “Thay vào đó, nó chỉ đòi hỏi người dùng sử dụng mạng di động để truy cập vào một website cụ thể và tự động click vào một nút bấm để khởi động quá trình đăng ký“.
Sau khi bạn cài đặt một trong các ứng dụng kia, Sonvpay sẽ nhận lệnh đăng ký các dịch vụ premium trả phí thông qua các thông báo đẩy mà người dùng điện thoại không bao giờ thấy được. Những dịch vụ này được thanh toán trực tiếp với nhà mạng. Ngoài ra, có một thành phần “cập nhật” giả mạo, yêu cầu người dùng đồng ý cho phép ứng dụng cập nhật, và Sonvpay.C sẽ lợi dụng điều đó để đăng ký các dịch vụ premium. Ngay cả nếu người dùng không đồng ý, các dịch vụ này vẫn sẽ xuất hiện trong hóa đơn của nhà mạng tùy thuộc vào câu lệnh được gửi đi thông qua thông báo đẩy.
Khi nhóm McAfee phát hiện ra Qrcode Scanner, Cut Ringtone 2018 và Despacito Ringtone bị đính kèm Sonvpay.C, họ đã cảnh báo Google và các ứng dụng này đã bị gỡ bỏ khỏi Google Play. Despacito Ringtone xuất hiện lại sau đó vài ngày, một lần nữa bị nhiễm Sonvpay.C, và lại bị Google tiêu diệt. Tuy nhiên rất có thể sẽ không chỉ dừng lại ở đó, rất có thể chiến dịch này sẽ lại tấn công người dùng bằng cách cài mã độc vào các ứng dụng khác trong thời gian tới, hãy thật tỉnh táo khi cài bất kỳ ứng dụng nào trên thiết bị Android của bạn. Ngoài ra bạn nên kiểm tra lại thiết bị smartphone của mình, truy cập vào mục “Quản lý ứng dụng” bên trong mục thiết lập của smartphone, tìm và gỡ bỏ các ứng dụng lạ mà bạn không chủ động cài đặt hoặc ít khi sử dụng đến, nên sử dụng ứng dụng bảo vệ quét bảo mật có sẵn trên thiết bị của bạn để quét bảo mật thường xuyên.
Nguồn: genk.vn