Trong số các ứng dụng chứa mã độc, có những ứng dụng đã được tải xuống đến hơn 8 triệu lần.
Các nhà nghiên cứu bảo mật của hãng ESET vừa phát hiện ra 42 ứng dụng Android trên cửa hàng Google Play Store chứa adware để hiển thị quảng cáo tới các nạn nhân nhằm kiếm tiền từ họ. Trong đó có những ứng dụng đã được tải xuống 8 triệu lần từ khi được đưa lên vào tháng Bảy năm 2018.
Đáng chú ý hơn, ESET phát hiện ra tác giả của hàng chục ứng dụng Android chứa mã độc quảng cáo adware này là một sinh viên đang sống tại Hà Nội, Việt Nam. Các ứng dụng này chứa một dòng adware mới trên Android được ESET đặt tên là Ashas.
Cách ESET lần ra tác giả của các ứng dụng này cho thấy, kế hoạch kinh doanh ứng dụng của sinh viên Việt Nam này đã có sự thay đổi đột ngột. Trong những phiên bản đầu tiên, không phải ứng dụng nào cũng chứa đoạn mã độc này, vì vậy có thể ban đầu, sinh viên này dự định kinh doanh các ứng dụng một cách hợp lệ. Tuy nhiên, sau đó, kế hoạch thay đổi và việc tiêm mã độc adware bắt đầu được thực hiện qua các bản cập nhật ứng dụng.
Vì ban đầu sinh viên này vẫn công bố các ứng dụng hợp lệ và không chứa mã độc, anh ta không quan tâm đến việc che giấu danh tính của mình trong các ứng dụng đó. Và vì vậy, khi bắt đầu tiêm mã độc adware vào các ứng dụng này, danh tính của nhà phát triển vẫn giữ nguyên như vậy.
Một ứng dụng chứa mã độc adware của nhà phát triển này.
Facebook của nhà phát triển Việt Nam đã đăng tải các ứng dụng chứa adware.
Từ địa chỉ email anh ta sử dụng để đăng ký tên miền cho adware, ESET đã lần ra các tài khoản cá nhân trên GitHub, sau đó YouTube và cuối cùng là cả Facebook. Nếu bạn muốn biết chi tiết về cách ESET lần ra tác giả của các ứng dụng chứa adware này, bạn có thể tham khảo tại đây .
Sau đó, các ứng dụng sẽ nhận được bản cập nhật với mã độc adware Ashas ngầm bên trong. Đoạn mã này hoạt động bằng cách hiển thị quảng cáo toàn màn hình và phủ lên trên ứng dụng khác.
Nhà phát triển này còn cẩn thận ngụy trang nguồn gốc của các quảng cáo này. Để tránh bị phát hiện, các quảng cáo chỉ hiện ra sau hơn 24 phút người dùng tương tác với ứng dụng bị nhiễm mã độc, và cũng thường bắt chước logo của các ứng dụng khác – ví dụ như Facebook hay Google – để ẩn mình kỹ hơn.
Các quảng cáo hiện ra toàn màn hình và được ngụy trang bằng logo của các ứng dụng khác.
Hãng ESET cho biết: “Chúng tôi đã thông báo về các ứng dụng này cho nhóm bảo mật của Google và chúng nhanh chóng bị loại bỏ. Tuy nhiên, các ứng dụng này vẫn xuất hiện trên các cửa hàng ứng dụng bên thứ ba.”
Tham khảo ZDNet