Google gỡ bỏ 331 ứng dụng độc hại do đánh cắp dữ liệu người dùng
Nhiều ứng dụng độc hại phổ biến như AquaTracker, ClickSave Downloader và Scan Hawk đã vượt qua cơ chế bảo mật của Android, đều thu hút hơn 1 triệu lượt tải xuống mỗi ứng dụng trước khi bị phát hiện.
Google Play Store là nền tảng phân phối ứng dụng lớn nhất và phổ biến nhất trên các thiết bị Android. Tuy nhiên, các chuyên gia bảo mật gần đây đã phát hiện ra 331 ứng dụng độc hại có khả năng vượt qua các cơ chế bảo mật của Android 13.
Chiến dịch này, có tên "Vapor", lần đầu tiên được IAS Threat Lab phát hiện vào đầu năm 2024. Các nhà nghiên cứu phát hiện ra rằng 180 ứng dụng trên Google Play Store đã thực hiện hơn 200 triệu yêu cầu quảng cáo giả mạo. Sau đó, công ty an ninh mạng Bitdefender mở rộng điều tra và phát hiện tổng số ứng dụng độc hại lên đến 331.
Bitdefender cảnh báo rằng những ứng dụng này không chỉ hiển thị quảng cáo ngoài ngữ cảnh mà còn dụ dỗ người dùng cung cấp thông tin đăng nhập và chi tiết thẻ tín dụng trong các cuộc tấn công lừa đảo tinh vi.
Các ứng dụng trong chiến dịch Vapor có khả năng ẩn mình, thậm chí một số còn có thể đổi tên trong phần “Cài đặt” để giả mạo các ứng dụng hợp pháp như Google Voice. Ngoài ra, chúng có thể tự động khởi chạy ở chế độ nền mà không cần bất kỳ thao tác nào từ người dùng và ẩn khỏi menu Tác vụ gần đây, khiến việc phát hiện và gỡ bỏ trở nên khó khăn.
Không chỉ dừng lại ở đó, một số ứng dụng còn hiển thị quảng cáo toàn màn hình, đồng thời vô hiệu hóa nút “Quay lại” và cử chỉ điều hướng trên Android. Nguy hiểm hơn, một số ứng dụng thậm chí giả mạo trang đăng nhập của các nền tảng phổ biến như Facebook và YouTube, đồng thời yêu cầu người dùng nhập thông tin thẻ tín dụng, tiềm ẩn nguy cơ đánh cắp dữ liệu tài chính.
Những ứng dụng này có thể vượt qua cơ chế bảo mật của Google như thế nào?
Theo Bitdefender, trong nhiều trường hợp, các ứng dụng độc hại ban đầu cung cấp những chức năng hợp pháp để được chấp nhận trên Google Play Store. Tuy nhiên, sau khi vượt qua quy trình kiểm duyệt, chúng đã bí mật bổ sung các tính năng độc hại, bao gồm hiển thị quảng cáo toàn màn hình và tự động khởi chạy trong nền mà không cần sự tương tác từ người dùng. Đáng lo ngại hơn, một số ứng dụng còn âm thầm thu thập dữ liệu cá nhân, bao gồm mật khẩu và số thẻ tín dụng.
Theo các chuyên gia bảo mật, những ứng dụng độc hại này thường ngụy trang thành các tiện ích phổ biến, chẳng hạn như ứng dụng theo dõi chi tiêu, ứng dụng sức khỏe, ứng dụng hình nền và máy quét mã QR. Một số ứng dụng đáng chú ý trong chiến dịch Vapor bao gồm: AquaTracker, ClickSave Downloader, Scan Hawk, Water Time Tracker, Be More, TranslateScan.
Mỗi ứng dụng trong danh sách trên đều đạt hơn 1 triệu lượt tải xuống trước khi bị phát hiện.
Để tránh bị nghi ngờ, các ứng dụng này được phát hành từ nhiều tài khoản nhà phát triển khác nhau, với mỗi tài khoản chỉ đăng tải một số ít ứng dụng. Theo Bitdefender, phần lớn các ứng dụng độc hại này đã xuất hiện trên Google Play Store từ tháng 10/2024 đến tháng 1/2025, trong khi một số nhà phát triển vẫn tiếp tục tung ra ứng dụng mới cho đến tháng 3/2025.
Theo một phát ngôn viên của Google chia sẻ với Bleeping Computer, cho đến hiện tại các ứng dụng độc hại này đều đã đã bị xóa khỏi Google Play./.
