Cụ thể, trong một báo cáo được công bố mới đây, Dr Web ước tính rằng có khoảng hơn 9,3 triệu người dùng thiết bị Android đã cài đặt các ứng dụng bị nhiễm phần mềm độc hại này.
Mã độc này ngụy trang dưới vỏ bọc là các tựa game như game bắn súng, trò chơi chiến thuật, trình chỉnh ảnh/video,… và được phát tán thông qua một chiến dịch quy mô lớn trên kho ứng dụng AppGallery, nhắm mục tiêu chủ yếu đến trẻ em với mục đích chính là lấy cắp số điện thoại, dữ liệu thiết bị người dùng.
Một mã độc nguy hiểm
Dr Web cho biết trojan Android.Cynos.7.origin là một trong những biến thể của phần mềm độc hại Cynos - một mô-đun có thể được tích hợp vào các ứng dụng Android để rút tiền ra khỏi thiết bị. Cynos là phần mềm độc hại được các nhà nghiên cứu biết đến ít nhất là từ năm 2014.
Theo Dr Web, trong tổng số 190 ứng dụng bị nhiễm mã độc được xác định, có một số ứng dụng được thiết kế để nhắm đến mục tiêu người dùng nói tiếng Nga hay những ứng dụng có tiêu đề và mô tả bằng tiếng Nga, trong khi những trò chơi khác nhắm vào người dùng Trung Quốc hoặc các quốc gia khác.
Một số ứng dụng phổ biến với số lượt tải vượt trội gồm: "Hurry up and hide" (dịch từ tiếng Trung Quốc) với 2.000.000 lượt tải; Cat adventures 427.000 lượt tải; và Drive school simulator là 142.000 lượt tải.
Cat adventures là một trong những ứng dụng trò chơi nhiễm mã độc Android.Cynos.7.origin với hơn 427.000 lượt cài đặt.
Khi người dùng tải về và cài đặt ứng dụng chứa mã độc nguy hiểm, các ứng dụng sẽ yêu cầu nạn nhân cấp quyền truy cập vào hệ thống với các hoạt động thường không liên quan đến trò chơi, chẳng hạn như quản lý việc gọi điện thoại hoặc phát hiện vị trí của người dùng. Điều đó cho phép trojan có quyền truy cập vào một số dữ liệu nhất định, sau đó sẽ thu thập và trích xuất tất cả các dữ liệu chuyển đến một máy chủ từ xa.
Các ứng dụng có chứa Android.Cynos.7.origin yêu cầu người dùng cấp quyền để thực hiện và quản lý các cuộc gọi điện thoại.
Các nhà phân tích của Dr Web cho biết, các thông tin mà phần mềm độc hại này thu thập bao gồm: Số điện thoại, dữ liệu vị trí dựa trên tọa độ GPS hoặc dựa trên mạng di động và các điểm truy cập Wi-Fi, các dữ liệu liên quan tới mạng di động bao gồm mã mạng, mã quốc gia... cùng hàng loạt thông số kỹ thuật của thiết bị cũng như các dữ liệu khác.
Tính cho đến thời điểm hiện tại, từ kết quả nghiên cứu 190 ứng dụng trên AppGallery, các nhà phân tích phần mềm độc hại của Dr Web cho biết, chức năng chính của phiên bản Android.Cynos.7.origin được phát hiện gần đây mới chỉ dừng lại là thu thập thông tin về người dùng và thiết bị của họ và hiển thị quảng cáo.
Tuy nhiên, các nhà phân tích của Dr Web cũng cảnh báo, những trò chơi được phát hiện nhiễm phần mềm độc hại đa phần được thiết kế cho trẻ em sử dụng, điều này khiến chúng trở nên rất nguy hiểm: "Thoạt nhìn, việc rò rỉ số điện thoại di động có vẻ như là một vấn đề nhỏ. Tuy nhiên, trên thực tế, nó có thể gây hại nghiêm trọng cho người dùng, đặc biệt là khi trẻ em là đối tượng mục tiêu chính của trò chơi".
Ngay cả khi số điện thoại di động được đăng ký cho người lớn, thì việc tải xuống trò chơi của trẻ em có khả năng chỉ ra rằng trẻ thực sự đang sử dụng điện thoại di động. Và việc dữ liệu chuyển đến các máy chủ từ xa có thể được sử dụng vào những mục đích xấu mà người dùng không thể lường trước được.
Đặc biệt, Dr Web cũng cho biết một số phiên bản khác của Cynos có chức năng khá mạnh với khả năng thực hiện hàng loạt hoạt động gây hại bao gồm gián điệp tin nhắn SMS, tự động tải xuống và khởi chạy các mô-đun bổ sung, các ứng dụng phần mềm độc khác hay đăng ký dịch vụ đắt tiền, thu thập dữ liệu, hiển thị quảng cáo... Do đó, cài đặt các ứng dụng nhiễm phần mềm độc hại này có thể dẫn đến các khoản phí không mong muốn từ việc đăng ký các dịch vụ đắt tiền.
Bảo vệ an ninh mạng và quyền riêng tư của người dùng là ưu tiên của Huawei
Đây không phải là lần đầu tiên các ứng dụng trên AppGallery của Huawei bị nhiễm mã độc nguy hiểm. Vào tháng 4 năm nay, các nhà phân tích của Dr Web cũng đã phát hiện ra phần mềm độc hại đầu tiên trên AppGallery là những trojan Android.Joker với hoạt động chủ yếu là đăng ký người dùng vào các dịch vụ di động cao cấp. Các chuyên gia đã phát hiện ra 10 bản biến thể của các trojan này được đưa vào AppGallery, với hơn 538.000 người dùng đã cài đặt chúng.
Android.Joker là họ phần mềm độc hại không còn xa lạ và được biết đến từ mùa thu năm 2019. Trước đây, chúng được phát hiện thường xuyên nhất trên kho ứng dụng Android Google Play. Tuy nhiên, những kẻ tấn công có xu hướng ngày càng mở rộng quy mô hoạt động và chuyển sự chú ý sang các danh mục thay thế được hỗ trợ bởi những người chơi lớn trên thị trường thiết bị di động như Huawei.
Sau khi phát hiện Android.Cynos.7.origin, Dr Web cũng đã thông báo cho Huawei về các ứng dụng đã bị nhiễm mã độc trong kho ứng Android của họ. Hiện các ứng dụng này đã được xóa khỏi AppGallery.
Mặc dù đã bị xóa khỏi kho ứng dụng, nhưng người dùng nếu đã từng cài đặt những ứng dụng nhiễm mã độc từ AppGallery thì nên kiểm tra lại và gỡ bỏ để tránh bị khai thác thêm.
Chia sẻ với BleepingComputer, đại diện của Huawei cho biết: "Hệ thống bảo mật tích hợp của AppGallery đã nhanh chóng xác định được nguy cơ tiềm ẩn trong các ứng dụng này. Hiện chúng tôi đang tích cực làm việc với các nhà phát triển bị ảnh hưởng để khắc phục sự cố. Khi đã có thể xác định chính xác về tất cả các ứng dụng, chúng tôi sẽ liệt kê trên AppGallery để người dùng có thể tải lại các ứng dụng yêu thích và tiếp tục sử dụng".
"Bảo vệ an ninh mạng và quyền riêng tư của người dùng là ưu tiên của Huawei. Chúng tôi hoan nghênh tất cả sự giám sát và phản hồi của bên thứ ba, đồng thời sẽ tiếp tục hợp tác chặt chẽ với các đối tác, sử dụng các công nghệ tiên tiến và sáng tạo nhất để bảo vệ quyền riêng tư của người dùng", đại diện Huawei khẳng định./.
.jpg "Chìa khóa giải quyết thách thức trong bảo vệ trẻ em trên không gian mạng")
