Hàng triệu biến thể HummingBad trên Google Play

An toàn thông tin - Ngày đăng : 22:18, 01/02/2017

Mới đây, các nhà nghiên cứu bảo mật của Check Point đã đưa ra cảnh báo về một biến thể mới của phần mềm độc hại HummingBad trên Android với hàng triệu lượt tải sau khi lây nhiễm tới 20 ứng dụng trong Google Play.

HummingBad được phát hiện vào đầu năm 2016, đây là một phần mềm độc hại phổ biến nhất trên Android, chiếm tới hơn 72% các cuộc tấn công trong nửa đầu năm 2016.

Theo một báo cáo được công bố cuối tháng 7/2016 của Check Point, khoảng 10 triệu thiết bị Android đã bị nhiễm HummingBad, phần mềm độc hại này cho phép tin tặc kiểm soát toàn bộ những thiết bị đã lây nhiễm. Ngoài ra, theo các nhà nghiên cứu, nhóm tội phạm đứng sau phần mềm độc hại này là Yingmob, chúng đã xâm hại tới hơn 85 triệu thiết bị.

Biến thể mới của HummingBad là HummingWhale sử dụng những công nghệ tinh vi vượt trội, cho phép tin tặc thực hiện các hoạt động bất chính tốt hơn trước.

Trong khi HummingBad lây nhiễm chủ yếu qua các ứng dụng lưu trữ của bên thứ ba thì biến thể HummingWhale được đưa vào Google Play theo cách riêng của chúng và đã lây nhiễm tới 20 ứng dụng (tất cả những ứng dụng này đã được Google xóa bỏ). Các nhà nghiên cứu nói rằng, họ tìm đã tìm thấy tập tin 1,3 MB được mã hóa dưới dạng “assets/group.png” trong HummingWhale và được sử dụng giả mạo một ứng dụng mang tên “file-explorer”.

Các ứng dụng này thực hiện một số hoạt động trong quá trình khởi động (boot) như TIME_TICK, SCREEN_OFF và INSTALL_REFERRER, và các ứng dụng này còn được sử dụng dưới những cái tên  có cấu trúc tên phổ biến là com.XXXXXXX.camera (ví dụ như com.bird.sky.whale.camera, com.color.rainbow.camera, com.fishing.when.orangecamera).

Check Point cho biết, HummingWhale tự động ghi các sự kiện, đóng gói một số chuỗi giống nhau trong mã của chúng và chứng thực khi đối chiếu với các biến thể HummingBad trước đó. Theo các nhà nghiên cứu, các biến thể mới được đóng gói và phần dữ liệu tải chủ yếu trong tập tin “group.png”, nó thực tế là tập tin .apk,  hoạt động như một tập tin trung gian (dropper). Tập tin này có thể tải về các ứng dụng bổ sung, đây là một tính năng đã từng có trong các phiên bản trước của HummingBad. Tuy nhiên, tập tin mới này sử dụng  phần mở rộng DroidPlugin Android để đăng tải các ứng dụng lừa đảo trên máy ảo.

Theo các nhà nghiên cứu: “Đầu tiên, các máy chủ điều khiển C&C cung cấp các dịch vụ quảng cáo giả mạo và ứng dụng cài đặt phần mềm độc hại rồi chuyển tới người dùng. Khi người dùng đóng quảng cáo và ứng dụng thì phần mềm độc hại được tải về, phần mềm này được tải lên các máy ảo và chạy như một thiết bị chính thống”.

Phương pháp sử dụng máy ảo này giúp bọn tội phạm mạng cài đặt ứng dụng vào thiết bị mà không cần sự đồng ý của người dùng. Điều này cũng giúp cho phần mềm độc hại xâm nhập dễ dàng hơn vào Google Play. Hơn nữa, phương pháp này còn giúp cho tin tặc có thể cài vô số phần mềm độc hại mà thiết bị người dùng không bị quá tải.

Các nhà nghiên cứu nói rằng: “HummingWhale cũng thực hiện các hoạt động độc hại ngày càng nhiều hơn, như hiển thị các quảng cáo bất hợp pháp trên thiết bị và ẩn ứng dụng ban đầu sau khi cài đặt.HummingWhale cũng cố gắng để nâng cao uy tín của mình trong Google Play bằng những bình luận lừa đảo mang tính tích cực, tương tự như các phần mềm độc hại Gooligan và CallJam trước đó".

Linh Anh