17 ứng dụng iOS độc hại được Apple gỡ khỏi App Store

Mới đây, các nhà nghiên cứu đã phát hiện ra mã độc trong 17 ứng dụng iOS trên cửa hàng ứng dụng (App Store) của Apple.
16:15 PM 25/10/2019 In bài viết này

Hãng nghiên cứu bảo mật di động Wandera đã phát hiện ra 17 ứng dụng trên cửa hàng ứng dụng App Store chính thức của Apple bị nhiễm mã độc.

Sau khi tải xuống, các ứng dụng độc hại lây nhiễm nạn nhân bằng trojan được thiết kế để thực hiện hoạt động lừa đảo và hoạt động độc hại liên quan đến quảng cáo trong nền, bao gồm liên tục mở các trang web và nhấp vào các liên kết mà không có bất kỳ tương tác nào của người dùng.

Một số ứng dụng có thể đánh cắp thông tin cá nhân và tài nguyên trên điện thoại người dùng. Ngoài ra, nó còn có thể bị lợi dụng để “chơi xấu” đối thủ cạnh tranh do bấm vào quảng cáo, chi phí mà họ phải trả sẽ đội lên cao hơn nhiều.

Ngay sau đó, Apple đã gỡ bỏ các ứng dụng này khỏi App Store, nhưng các nhà nghiên cứu cho biết một lượng lớn người dùng iOS đã cài đặt chúng.

17 ứng dụng đến từ nhiều hạng mục khác nhau, bao gồm làm việc, tiện ích nền tảng, du lịch đều do cùng một công ty có trụ sở tại Ấn Độ là AppAspect Technologies phát triển. Điều đáng nói là AppAspect Technologies cũng đang có 28 ứng dụng trên Google Play Store, dù không cái nào liên lạc với máy chủ C&C. Trước đây, một số ứng dụng của công ty này đã bị liệt vào danh sách ứng dụng nhiễm độc và bị Google xóa bỏ. Chúng được tải lên lại và hiện không có vấn đề gì.

Cụ thể 17 ứng dụng gây hại đó là: Thông tin xe RTO (RTO Vehicle Information); Máy tính & Kế hoạch cho vay EMI (EMI Calculator & Loan Planner); Trình quản lý tệp - Tài liệu (File Manager - Documents); Đồng hồ tốc độ GPS thông minh (Smart GPS Speedometer); CrickOne - Điểm Cricket trực tiếp (CrickOne - Live Cricket Scores); Tập thể dục hàng ngày - Yoga Poses (Daily Fitness - Yoga Poses); Đài FM - Internet Radio (FM Radio PRO - Internet Radio); Thông tin tàu của tôi - IRCTC & PNR (My Train Info - IRCTC & PNR​); Công cụ tìm chỗ quanh tôi (Around Me Place Finder); Quản lý sao lưu danh bạ dễ dàng (Easy Contacts Backup Manager); Thời báo Ramadan 2019 (Ramadan Times 2019 Pro); Tìm nhà hàng - Tìm thức ăn (Restaurant Finder - Find Food); Máy tính BMI - BMR Calc (BMI Calculator PRO - BMR Calc); Tài khoản kép (Dual Accounts Pro); Trình chỉnh sửa video - Tắt tiếng video (Video Editor - Mute Video); Thế giới Hồi giáo - Qibla Islamic (World PRO - Qibla); Bộ nén video thông minh (Smart Video Compressor).

Chúng dùng máy chủ điều khiển và ra lệnh (C&C), đặt cửa hậu vào ứng dụng. Thông qua kênh này, thế lực xấu có thể phát tán quảng cáo, gửi đi các lệnh, thực hiện thông qua giao tiếp mã hóa giữa ứng dụng và máy chủ.

AppAspect Technologies có tổng cộng 51 ứng dụng trên App Store, trong đó có 35 ứng dụng là cung cấp miễn phí. Trong số 35 ứng dụng này, lại có 17 ứng dụng liên lạc với máy chủ C&C.

Cùng một máy chủ C&C đã được xác định trước đây trong một chiến dịch trojan clicker riêng vào tháng 8/2019, nơi các ứng dụng Android bị nhiễm sẽ kích hoạt quảng cáo nhắm mục tiêu, tải trang web một cách âm thầm và cấu hình lại các thiết bị từ xa.

Tuy nhiên, “chúng tôi không thể khẳng định chắc chắn rằng nhà phát triển có ý định độc hại hay lừa đảo”, các nhà nghiên cứu của Wandera cho biết. “Nếu không cố ý, tôi cho rằng sự gián đoạn trong chuỗi cung ứng có thể là nguồn bị xâm phạm. Chúng tôi đã thấy một tình huống tương tự trước đây đó là vụ việc mã độc XcodeGhost lây lan trong cộng đồng các nhà phát triển iOS, do họ đã lấy trình biên dịch ứng dụng của mình từ một nguồn không đáng tin cậy”.

Các ứng dụng độc hại tiếp tục gia tăng tấn công vào các cửa hàng ứng dụng chính thức của cả cả iOS và Android. Trước đó vào năm 2019, Google Play đã xóa bỏ ít nhất 85 ứng dụng giả mạo chứa phần mềm quảng cáo, được ngụy trang thành các ứng dụng giả lập trò chơi, điều khiển tivi từ xa. Sau khi tải xuống, các ứng dụng giả mạo ẩn mình trong thiết bị nạn nhân và tiếp tục hiển thị quảng cáo toàn màn hình cứ sau 15 phút.

Ngoài ra, năm ngoái, Apple đã gỡ bỏ hai ứng dụng được coi là công cụ theo dõi tập thể dục - nhưng thực tế đang sử dụng tính năng Apple Touch ID để đánh cắp tiền từ các nạn nhân iOS.

Nếu đang cài một trong các ứng dụng iPhone, iPad kể trên, bạn nên gỡ bỏ ngay lập tức. Không chỉ mở website, bấm vào quảng cáo, nó còn làm pin hết nhanh hơn và làm cho máy bị chậm.

TH ((Theo: https://threatpost.com))
Xem thêm